Aide désinfection rapports OTL Résolu/Fermé

Question

Bonjour @ tous.
j'ai pour tache de désinfecter le PC de ma petite nièce de 13ans et j'ai besoin d'aide svp, avant que ça me vire et que je réinstalle la config d'usine. Mais elle perdrais tout ses jeux, à eviter donc si on peut pour eviter encore des infections lors de ses téléchargements.    
J'ai désactivé pas mal de services (non Microsoft) via MSCONFIG ainsi que certain logiciels lancés au démarage.
J'ai fait un ccleaner en mode sans echec.
Ensuite en mode normal un adwcleaner (AV désactiver obligé) avec redémarage et désinstalation de celui-ci.
J'ai ensuite lancé un OTT (rapports ci-joints). Pouvais-vous m'aider svp et me comuniquer d'autres marche à suivre.
Dois-je plutot ancer un ZHPDIAG ?
Merci de votre aide. Cordialement.
Liens rapports OTT:
https://pjjoint.malekal.com/files.php?id=20130902_g7g11c9f6v11
https://pjjoint.malekal.com/files.php?id=20130902_10h8z9y6y13

g3n-h@ckm@n · Answer

salut passe JRT

http://security-helpzone.com/gen-hackman/tutos-canneds/junkware-removal-tool/

staffy13 · Answer

Merci pour votre réponse et votre aide.

JRT a tourné, voici le lien du rapport ci dessous:
https://pjjoint.malekal.com/files.php?id=20130902_z5q14f6p5q12

Y-a-t-il d'autre chose à faire ?
Merci.Cordialement.

g3n-h@ckm@n · Answer

ok adwcleaner c'etait la derniere version téléchargé fraichement ?

staffy13 · Answer

Oui derniere version. Téléchargé sur une cle usb depuis mon PC et déposée ensuite sur le burreau du PC infecté avant de lancer le scan.
Mais je peux recommencer s'il faut directement en téléchargeant adwcleaner sur le PC infecté. Dites moi...
J'ai remaqué qu'avec cette dernierre version d'adwcleaner mon AV (Avira Free) me signale un virus au téléchargement. Obligé de désactiver celui-ci pour pouvoir télécharger. (d'ou la manipulation clé usb pour ne pas désactiver l'AV sur le PC infecté)

Merci. Cordialement.

g3n-h@ckm@n · Answer

ah lol en principe on desactive les protections pour l utilisation des outils pour une meilleur efficacité

==

passe malwarebytes

https://www.security-helpzone.com/2013/04/17/malwarebytes-anti-malware-mbam-detecteur-generaliste-de-menaces/

staffy13 · Answer

mdr... Ok pour le conseil. J'ai arrêté la protection en temps réel pour le scan adwcleaner, pas de prob, mais j'ai eu peur de l'arrêter pour le téléchargement, d'ou la manip (je deviens parano lol).
Malwarebytes tourne aprés update de la base, AV désactivé, depuis +de 60mnts maintenant. A peinne 230000 Objets scannés environ, toujours rien detecté. Je laisse tourner et vous poste le rapport une fois finis. On dirait que c'est partie pour 2 ou 3 hrs...

PS: OTL & JRT toujours sur le burreau. On enlevera a la fin d'aprés ce que je sais !?

Merci pour votre patience. Cordialement.

staffy13 · Answer

Désolé du double post.  J'ai démaré le gestionnaire de tache pour voir l'utilisation du Proco et l'analyse Malwarebytes c'est terminée d'un coup. On est passé des 230000 Objets scannés à 450000 d'un coup....!???

voici le lien pour le rapport:
https://pjjoint.malekal.com/files.php?id=20130903_h12o5w11o6c10

Merci. Cordialement.

g3n-h@ckm@n · Answer

re

refais OTL mais avec cette configuration :

http://security-helpzone.com/gen-hackman/tutos-canneds/otl-2/

staffy13 · Answer

Bonjour.
Je tiens à vous dire qu'il est trés appréciable de rencontrer des personnes assidues comme vous pour nous aider sur le net.
J'ai lancer OTL comme préscisé, sans AV protection temps réel, je ne suis pas arriver à décocher la protection web. Voici les liens des rapports OTL ci-dessous:

https://pjjoint.malekal.com/files.php?id=20130903_h12o5w11o6c10

https://pjjoint.malekal.com/files.php?id=20130903_n10z10j7l13d8

Encore merci et bonne journée. Cordialement.

g3n-h@ckm@n · Answer

coucou

il me faudrait OTL.txt aussi :)
tu t'es trompée tu m'as remis le rapport de MBAM , tu as du oublier de copier le lien ^^ 
 
¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
Bientôt désinscrit de Commentcamarche...

staffy13 · Answer

Oups désolé erreur de ma part. Voici le rapport:

 https://pjjoint.malekal.com/files.php?id=20130903_y11e12w11u9u13

Merci. @+

g3n-h@ckm@n · Answer

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

mets tous les paramètres sur aucun

&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous "Personnalisation" :

dir /A /B /S "C:\Program Files (x86)\Cartoon Maker" /c

&#9654 Clique sur "Analyse"

Poste le nouvel OTL.txt

staffy13 · Answer

De retour... 
"TOUS" paramètres OTL sur aucun, qu'un seul rapport OTL.txt. Voici le lien ci-dessous.

https://pjjoint.malekal.com/files.php?id=20130903_r15u13n14q9j10

Merci.

g3n-h@ckm@n · Answer

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

C:\PROGRAM FILES (X86)\CARTOON MAKER\CartoonMaker.exe

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s)  dans ta prochaine réponse.

staffy13 · Answer

...ça m'a répondu:
"Ce fichier a déjà été analysé par VirusTotal le  2013-05-31 10:19:58
Ratio de détection :  0/40
Vous pouvez jeter un oeil à la dernière analyse ou l'analyser à nouveau maintenant.

pourtant je n'ai fait appel à personne d'autre ni posté sur d'autres forum.
Peut etre moi avec mes tentatives autodidactes.

https://www.virustotal.com/gui/file/8215b4d56945c0a27ba329059895593c5ea62f2469c351b43cf33bd6c798393a

Merci.

g3n-h@ckm@n · Answer

reanalyse-le

staffy13 · Answer

Voici:

https://www.virustotal.com/gui/file/8215b4d56945c0a27ba329059895593c5ea62f2469c351b43cf33bd6c798393a

Merci.

g3n-h@ckm@n · Answer

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous "Personnalisation" :


:OTL
SRV - [2013/07/26 22:30:39 | 000,168,400 | ---- | M] (APN LLC.) [Disabled | Stopped] -- C:\Program Files (x86)\AskPartnerNetwork\Toolbar\apnmcp.exe -- (APNMCP)     
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {41564952-412D-5637-00A7-7A786E7484D7} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-511320378-3374345712-32204512-1003\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-511320378-3374345712-32204512-1003\..\Toolbar\WebBrowser: (no name) - {41564952-412D-5637-00A7-7A786E7484D7} - No CLSID value found.
O4 - HKU\S-1-5-18\..\RunOnce: [SPReview] "C:\Windows\System32\SPReview\SPReview.exe" /sp:1 /errorfwlink:"http://go.microsoft.com/fwlink/?LinkID=122915" /build:7601 File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1     
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1     
O16 - DPF: {73ECB3AA-4717-450C-A2AB-D00DAD9EE203} http://h20614.www2.hp.com/ediags/gmd/Install/Cab/hpdetect1263.cab (Reg Error: Key error.)
MsConfig:64bit - StartUpReg: [b]ApnTBMon/b - hkey= - key= - C:\Program Files (x86)\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe (APN)     
[2013/08/29 22:23:47 | 000,000,000 | ---D | C] -- C:\Users\PBell\AppData\Local\AskPartnerNetwork     
[2013/08/29 21:17:20 | 000,000,000 | ---D | C] -- C:\ProgramData\AskPartnerNetwork     
[2013/08/29 21:17:20 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\AskPartnerNetwork     
[2009/10/30 06:26:14 | 000,131,368 | ---- | C] () -- C:\ProgramData\FullRemove.exe 
[2010/11/01 23:19:22 | 000,000,000 | ---D | M] -- C:\274f26a12567e807ef12d9560c83dfb9 
[2011/08/25 20:38:42 | 000,000,000 | ---D | M] -- C:\40b782f7f5c98ccc82 
[2012/01/16 17:52:37 | 000,000,000 | ---D | M] -- C:\923e6b6dbd7953e0260fdc 
[2013/08/29 21:17:20 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\AskPartnerNetwork     
[2011/09/13 10:29:55 | 000,000,000 | ---D | M] -- C:\Windows\Installer\{A7BC02AF-1128-4A31-BCF8-1A3EE803D3B3}     

:reg
[-HKEY_CURRENT_USER\Software\AskPartnerNetwork]     
[-HKEY_LOCAL_MACHINE\Software\AskPartnerNetwork]     
[-HKEY_LOCAL_MACHINE\Software\Vittalia]     
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] 
"EnableFirewall"=DWORD:0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 
"EnableFirewall"=DWORD:0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile] 
"EnableFirewall"=DWORD:0

:files
C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\*

:commands
[emptytemp]

&#9654 Clique sur "Correction" pour lancer la suppression.


&#9654 Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

staffy13 · Answer

Vous avez bien bossé, je vous remercie pour ce script perso.
J'ai lancer la correction demandée, voici le lien du rapport qui s'est effectivement  ouvert au redémarrage du PC.

https://pjjoint.malekal.com/files.php?id=20130903_v14z13r15j5e11

Cordialement.

staffy13 · Answer

PS: un message du centre de sécurité me dit que "le pare-feu Windows est désactivé ou incorrectement configuré" et me propose "activer maintenant". Je l'active donc...

g3n-h@ckm@n · Answer

desinstalle antivir

==

installe avast antivirus gratuit et enregistre toi pour avoir la license gratuite pour un an

https://www.avast.com/fr-fr/compare-antivirus?cha=ppc&sen=google&ste=avast&var=31279007472&omcid=FR-FR_Search_Brand&gclid=CIHgtcbbr7kCFYfMtAodkiAAVg

staffy13 · Answer

Bonsoir et merci d'etre encore avec moi...
Je tiens à vous dire que si vous pensez que continuer les opérations devient trop pénible, est inutile et que cela n'en vaut pas le coup pour conserver les quelques jeux de ma nièce, surtout dite le moi sans hésiter. A ce moment là je formate et réinstalle le PC d'usine, j'ai pu créer les DVD avec le logitiel inclus avant de faire appel à vous et lui sauvegarder ses documents, films, photos etc...

Je vous dit ça car malheureusement, malgrés que je vous sais compétant, ça se complique un peut:
désinstalation "Avira Free 2013" ok --->
redémarage en mode sans échec,
nettoyage de disque dur + un coup de Ccleaner portable --->
redemarage du PC,
message de la part d'Avira dans la zone de notification "vous avez reussie l'installation de Avira etc...".
L'icone parapluie est présente et le service "avgnt.exe *32" est dans le gestionnaire de tache. J'ai fait quelques tests avec des fichiers "EICART test" que j'ai sur une clé usb, l'AV est fonctionnel.
Plus d'iconne présent dans le "désinstalateur Windows" pour essayer de désinstaller à nouveau, ni dans "Ccleaner", ni dans "Revo Uninstaller".
Dans "C:\Program Files\Avira\AntiVir Desktop" les dossiers sont présents, je n'en trouve pas un qui resemble à "Uninstall...Avira...." pour essayer de le désintaller par ce biais, si une icone est présente je ne connais pas son nom.
Je n'ai donc pas tenté d'installer "Avast Free" qui attend sur le burreau.

Désolé pour la longueur du message, c'est pas évident d'expliquer...
Que me conseillez vous de faire ?

Merci. Cordialement.

PS: pensez à ce que je vous dit au début du message. Ne vous prenez pas trop la tête, lol, le PC est à coté de moi en stand bye et personne en a besoin dans l'urgence. Si ça vaut pas le coup, on formate ;-)

g3n-h@ckm@n · Answer

ouaip' si il n'y a si peu d'interêt que ca tu y gagnes en temps à le refaire :)

staffy13 · Answer

Tout à fait d'accord. Je vais lui réinstaller le PC. Je lui expliquerais comment télécharger et installer ses jeux sans se faire infecter son PC, ni vous ni moi n'allons perdre plus de temps.
Je tiens sincèrement à vous remercier pour votre aide et votre patience. Heureusement que des gens compétents et dévoués comme vous existent sur le net pour nous aider. (nous les geek lol)
J'ai vue votre signature qui à changé et je me permet de vous adresser toutes mes condoléances.

Merci pour tout, bien à vous, cordialement.

PS: je met sur résolue

g3n-h@ckm@n · Answer

merci :)

staffy13 · Answer

Bonjour et désolé de vous déranger pour si peut.

Après réinstallation du système usine j'ai un fichier "C:\_OTL" qui est toujours présent. Apparemment ce ne sont pas les rapports de votre travail. Je pense plutôt à des "quarantaines" ou autre. En tout cas il m'est impossible de le supprimer car il me faut une autorisation.
J'ai essayé la manip suivante:
-Télécharger OTL sur clé usb avec mon PC
-déposer OTL sur bureau du PC concerné & lancer un scan (en tant qu'administrateur)
-supprimer le fichier rapport qui s'est affiché automatiquement
-Fermer OTL, le relancer (tjrs administrateur) lancer "purge outil" et redémarrer le PC comme proposeé.
cela l'a pas résolue le problème.
 
Auriez-vous une solution svp  ?
Merci. Cordialement.

g3n-h@ckm@n · Answer

c'est clair !!?

Aide désinfection rapports OTL

27 réponses

Discussions similaires