Impossible de se débaraser de System Speedup Résolu/Fermé

Question

Bonjour, 

Je viens ici dans l'espoir de trouver réponse à ma question. Il y a eu System Speedup, Advenced System Protector et Deeal qui se sont installés sur mon ordinateur je ne sais pas comment et impossible de s'en débarrasser, je les supprime via le panneau de configuration mais ils reviennent après chaque redémarrage. J'ai entendu qu'il y avait une solution avec OTL, mais je n'ai rien compris, quelqu'un pourrait m'aider? Je suis sous Windows 8. Merci d'avance.


Configuration: Windows / Firefox 30.0

Malekal_morte- · Answer

Salut,

Scan Malwarebytes (temps : environ 40min de scan):
==================================================
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/ 
Mets le à jour puis lance un examen. 

A la fin du scan, clic sur "Mettre tout en quarantaine" en bas à gauche. 
Redémarre l'ordinateur si besoin. 
Après redémarrage, relance Malwarebytes. 
Vas chercher le rapport dans l'onglet Historique. 
A gauche Journal des examens. 
Doube-clic sur l'examen dans la liste. 
Puis en bas Copier dans le presse papier
Vas sur http://pjjoint.malekal.com et en bas, clic droit / coller pour coller le rapport du scan Malwarebytes.
Clic sur envoyer.
Dans un nouveau message ici en réponse, donne le lien pjjoint afin de pouvoir consulter le rapport.

AsPhiXie · Answer

Bonjour, merci de ta réponse, j'ai fais ce que tu m'as dis, voici le lien:
http://pjjoint.malekal.com/files.php?read=20140706_h9j5g15g9o9

Malekal_morte- · Answer

well, le suite :


Faire un Scan OTL - Temps : Environ 40min
=====================
OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt 
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/    

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.    
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)    

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL    
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :    



netsvcs   
msconfig   
safebootminimal   
safebootnetwork   
activex   
drivers32   
%ALLUSERSPROFILE%\Application Data\*.   
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.dll /s
%APPDATA%\*.
%PROGRAMFILES%\*.
%PROGRAMDATA%\*.
%APPDATA%\*.exe /s   
%temp%\*.exe /s   
%SYSTEMDRIVE%\*.exe   
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles   
%windir%\Tasks\*.job /lockedfiles   
%systemroot%\system32\drivers\*.sys /lockedfiles   
%systemroot%\System32\config\*.sav   
/md5start   
explorer.exe   
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT   
nslookup www.google.fr /c
ping www.google.fr /c
ipconfig /all /c
SAVEMBR:0   
hklm\software\clients\startmenuinternet|command /rs   
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE

AsPhiXie · Answer

Vraiment, merci pour ton aide!

Pour le OTL.txt: http://pjjoint.malekal.com/files.php?read=OTL_20140706_o9u9v7y12u11

Extra.txt: http://pjjoint.malekal.com/files.php?read=OTL_Extras_20140706_g12f5q10f12z13

Malekal_morte- · Answer

Relance OTL. 
o sous Personnalisation (Custom Scan), copie_colle le contenu  ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:  


:OTL
 O2 - BHO: (Deeal) - {70C53538-9F82-42BC-A327-74F7A46E700C} - C:\Program Files (x86)\Deeal\ScriptHost.dll (Deeal) 
 O4 - HKU\S-1-5-21-3082986673-892018407-4133066645-1002..\Run: [iTunesHelper] wscript.exe //B C:\Users\SinDou\AppData\Local\Temp\iTunesHelper.vbe File not found 
 [2014/07/04 21:23:43 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Deeal
[2014/07/03 17:08:27 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Advanced System Protector
[2014/07/03 17:08:15 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Advanced System Protector
[2014/07/03 17:06:19 | 000,000,000 | ---D | C] -- C:\Users\SinDou\AppData\Roaming\System Speedup
[2014/07/03 17:06:04 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\System Speedup
[2014/07/03 17:05:53 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\System Speedup 
 [2014/07/02 12:54:06 | 000,000,000 | ---D | C] -- C:\Users\SinDou\AppData\Roaming\wp_update
 [2014/07/03 17:07:34 | 000,000,300 | ---- | C] () -- C:\WINDOWS	asks\System Speedup_DEFAULT.job
[2014/07/03 17:07:33 | 000,000,308 | ---- | C] () -- C:\WINDOWS	asks\System Speedup_UPDATES.job
[2014/07/02 13:03:03 | 000,016,896 | ---- | C] () -- C:\WINDOWS\SysNative\sasnative64.exe 
[2014/06/30 21:21:09 | 000,000,000 | ---D | C] -- C:\Users\SinDou\AppData\Roaming\betadeeal 
 [2014/06/12 18:09:32 | 000,431,104 | ---- | C] () -- C:\ProgramData\uninstall_Deeal.exe 
 [2014/06/30 21:21:07 | 000,667,648 | ---- | C] () -- C:\Users\SinDou\AppData\Roaming\~kqpywgh.exe 
:files
C:\Users\SinDou\AppData\Local\AppData\Local\Microsoft\WinU\ 
C:\Users\SinDou\AppData\Roaming\~*exe


* poste le rapport ici

AsPhiXie · Answer

Voici le rapport après la correction:

========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{70C53538-9F82-42BC-A327-74F7A46E700C}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{70C53538-9F82-42BC-A327-74F7A46E700C}\ deleted successfully.
C:\Program Files (x86)\Deeal\ScriptHost.dll moved successfully.
Registry value HKEY_USERS\S-1-5-21-3082986673-892018407-4133066645-1002\Software\Microsoft\Windows\CurrentVersion\Run\iTunesHelper deleted successfully.
C:\Program Files (x86)\Deeal folder moved successfully.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Advanced System Protector folder moved successfully.
C:\Program Files (x86)\Advanced System Protector\Troubleshooter folder moved successfully.
C:\Program Files (x86)\Advanced System Protector\clamunpack folder moved successfully.
C:\Program Files (x86)\Advanced System Protector folder moved successfully.
C:\Users\SinDou\AppData\Roaming\System Speedup folder moved successfully.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\System Speedup folder moved successfully.
C:\Program Files (x86)\System Speedup folder moved successfully.
C:\Users\SinDou\AppData\Roaming\wp_update folder moved successfully.
C:\Windows\Tasks\System Speedup_DEFAULT.job moved successfully.
C:\Windows\Tasks\System Speedup_UPDATES.job moved successfully.
C:\Windows\SysNative\sasnative64.exe moved successfully.
C:\Users\SinDou\AppData\Roaming\betadeeal folder moved successfully.
C:\ProgramData\uninstall_Deeal.exe moved successfully.
C:\Users\SinDou\AppData\Roaming\~kqpywgh.exe moved successfully.
========== FILES ==========
Folder C:\Users\SinDou\AppData\Local\AppData\Local\Microsoft\WinU not found.
File\Folder C:\Users\SinDou\AppData\Roaming\~*exe not found.

Malekal_morte- · Answer

Lire - second paragraphe : https://www.malekal.com/fr-pack-pup-system-speedup-advanced-system-protector-et-deeal/

Garde Malwarebytes :)

Pour prévenir les sites malicieux, tu peux installer Blockulicious : https://forum.malekal.com/viewtopic.php?t=46656&start=


Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/ 
 
 
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

AsPhiXie · Answer

Merci de ton aide! Si j'ai bien compris il faut que je suive le mini tuto avec les DNS dans ton premier lien et ça sera enfin réglé?

AsPhiXie · Answer

Ah donc le problème est réglé, pas besoin de faire autre chose? J'ai bien lu tes liens, ça m'a bien informé, merci beaucoup de ton aide!

Malekal_morte- · Answer

Non à part les derniers conseils :)

AsPhiXie · Answer

Super! J'ai redémarrer mon ordinateur et le problème semble résolut! Il reste juste une dernière chose c'est que le logiciel Deeal continue à rester sur mon ordinateur et m'affiche des pubs sur firefox .. Une idée de comment je pourrais m'en débarrasser?

Malekal_morte- · Answer

il semblerait que Deal se soit réinstaller hier.

Relance OTL. 
o sous Personnalisation (Custom Scan), copie_colle le contenu  ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:  


:OTL
O2 - BHO: (Deeal) - {70C53538-9F82-42BC-A327-74F7A46E700C} - C:\Program Files (x86)\Deeal\ScriptHost.dll (Deeal)
[2014/07/02 13:03:08 | 000,000,000 | ---D | C] -- C:\ProgramData\Systweak
[2014/07/02 13:02:30 | 000,019,544 | ---- | C] (System Speedup) -- C:\WINDOWS\SysNative\roboot64.exe
[2014/07/02 13:02:27 | 000,000,000 | ---D | C] -- C:\Users\SinDou\AppData\Roaming\systweak
[2014/06/13 16:20:16 | 000,431,104 | ---- | M] () -- C:\ProgramData\uninstall_Deeal.exe
[2014/07/06 22:17:22 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Deeal
:files
C:\Users\SinDou\AppData\Roaming\~*exe 

* poste le rapport ici  
 
Redémarre l'ordinateur

AsPhiXie · Answer

Voici le rapport: 
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{70C53538-9F82-42BC-A327-74F7A46E700C}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{70C53538-9F82-42BC-A327-74F7A46E700C}\ deleted successfully.
C:\Program Files (x86)\Deeal\ScriptHost.dll moved successfully.
C:\ProgramData\Systweak\Advanced System Protector\updates folder moved successfully.
C:\ProgramData\Systweak\Advanced System Protector\signatures folder moved successfully.
C:\ProgramData\Systweak\Advanced System Protector\2.1.1000.12580 folder moved successfully.
C:\ProgramData\Systweak\Advanced System Protector folder moved successfully.
C:\ProgramData\Systweak folder moved successfully.
C:\Windows\SysNative\roboot64.exe moved successfully.
C:\Users\SinDou\AppData\Roaming\systweak\ssd folder moved successfully.
C:\Users\SinDou\AppData\Roaming\systweak\BeforeUninstall folder moved successfully.
C:\Users\SinDou\AppData\Roaming\systweak\Advanced System Protector\Logs folder moved successfully.
C:\Users\SinDou\AppData\Roaming\systweak\Advanced System Protector\Backup folder moved successfully.
C:\Users\SinDou\AppData\Roaming\systweak\Advanced System Protector\2.1.1000.12580 folder moved successfully.
C:\Users\SinDou\AppData\Roaming\systweak\Advanced System Protector folder moved successfully.
C:\Users\SinDou\AppData\Roaming\systweak folder moved successfully.
C:\ProgramData\uninstall_Deeal.exe moved successfully.
C:\Program Files (x86)\Deeal folder moved successfully.
========== FILES ==========
File\Folder C:\Users\SinDou\AppData\Roaming\~*exe not found.
 
OTL by OldTimer - Version 3.2.69.0 log created on 07072014_140751

Malekal_morte- · Answer

vois ce que cela donne et fais un scan malwarebytes en le mettant à jour ce soir ou dans l'aprem si tu as le temps;

AsPhiXie · Answer

Voici le rapport, n'ayant pas encore redémarrer mon ordinateur depuis la correction via OTL

Malwarebytes Anti-Malware
www.malwarebytes.org

Date de l'examen: 07/07/2014
Heure de l'examen: 14:27:29
Fichier journal: 
Administrateur: Oui

Version: 2.00.2.1012
Base de données Malveillants: v2014.07.07.02
Base de données Rootkits: v2014.07.03.01
Licence: Essai
Protection contre les malveillants: Activé(e)
Protection contre les sites Web malveillants: Activé(e)
Self-protection: Désactivé(e)

Système d'exploitation: Windows 8.1
Processeur: x64
Système de fichiers: NTFS
Utilisateur: Sina

Type d'examen: Examen "Menaces"
Résultat: Terminé
Objets analysés: 289676
Temps écoulé: 9 min, 7 sec

Mémoire: Activé(e)
Démarrage: Activé(e)
Système de fichiers: Activé(e)
Archives: Activé(e)
Rootkits: Désactivé(e)
Heuristics: Activé(e)
PUP: Activé(e)
PUM: Activé(e)

Processus: 0
(No malicious items detected)

Modules: 0
(No malicious items detected)

Clés du Registre: 4
PUP.Optional.AdvancedSystemProtector.A, HKLM\SOFTWARE\WOW6432NODE\SYSTWEAK\Advanced System Protector, Mis en quarantaine, [a20cddbfafcc40f609a8c9eae81ae41c], 
PUP.Optional.SystemSpeedup, HKLM\SOFTWARE\WOW6432NODE\SYSTWEAK\ssd, Mis en quarantaine, [2886e7b5b8c36dc90801466ebf439b65], 
PUP.Optional.AdvancedSystemProtector.A, HKU\S-1-5-21-3082986673-892018407-4133066645-1002-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\SYSTWEAK\Advanced System Protector, Mis en quarantaine, [644a68347803979f02a651a43fc460a0], 
PUP.Optional.SystemSpeedup, HKU\S-1-5-21-3082986673-892018407-4133066645-1002-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\SYSTWEAK\ssd, Mis en quarantaine, [87271b814536e3533ccca014d32fed13], 

Valeurs du Registre: 0
(No malicious items detected)

Données du Registre: 0
(No malicious items detected)

Dossiers: 0
(No malicious items detected)

Fichiers: 2
PUP.Optional.SystemSpeedup, C:\Windows\System32\Tasks\System Speedup_DEFAULT, Mis en quarantaine, [d8d6a1fbb6c50b2bf6b6d1e23cc644bc], 
PUP.Optional.SystemSpeedup, C:\Windows\System32\Tasks\System Speedup_UPDATES, Mis en quarantaine, [3975227a611aca6c7836882b6c96f20e], 

Secteurs physiques: 0
(No malicious items detected)


(end)

Malekal_morte- · Answer

vois si ça revient :)

AsPhiXie · Answer

Après avoir redémarrer l'ordinateur le problème semble résolu, mille merci à toi!

Malekal_morte- · Answer

hummm, tu es le seul à qui cela revient.

Suis ce tutorial : https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
Cela va générer deux rapports FRST.
Envoie comme expliqué, ces deux rapports sur le site pjjoint et donne les deux liens pjjoint de ces rapports afin qu'ils puissent être consultés.

AsPhiXie · Answer

Deeal n'est plus dans les programmes et fonctionnalités mais il est présent sur mon navigateur firefox, par exemple je vais sur google pour n'importe quel recherche, les 3 premiers liens seront des liens "Powered by Deeal" ainsi que sur certains site tout en haut il y a une bannière à chaque fois où Deeal propose des trucs à vendre, on dirait que Mozilla est infecté .. Et pour l'antivirus, je crois savoir que Windows 8 possède son propre anti virus qui est Microsoft Essential Security? Donc je n'en ai pas installé d'autre.

Voici le FRST.txt: http://pjjoint.malekal.com/files.php?read=FRST_20140709_n12p11q6p11o5
Voici le Addition.txt: http://pjjoint.malekal.com/files.php?read=20140709_l6h10m14u8l15
Voici le Shortcut.txt: http://pjjoint.malekal.com/files.php?read=20140709_e15m8i5g14c15

Malekal_morte- · Answer

La liste des programmes, c'est normal.
Ca veux pas dire qu'il soit actif.

Pour Firefox, ça doit être parce qu'il est en moteur de recherche.
Réinitalise Firefox : https://www.malekal.com/reparer-firefox/?t=36057&start=

ou mieux :

Exporte tes favoris : https://support.mozilla.org/fr/kb/exporter-marque-pages-firefox-fichier-html
Désinstalle Mozille Firefox.
Fais une recherche de fichiers sur le mot Firefox : https://www.commentcamarche.net/faq/10217-windows-vista-et-superieurs-recherche-de-fichiers
Supprime tout ce qui est trouvé.
Réinstalle Firefox.

~~

Supprime ces dossiers :
C:\WINDOWS\System32\Tasks\Advanced System Protector_startup
C:\WINDOWS\System32\Tasks\Advanced System Protector
C:\WINDOWS\System32\Tasks\WIN-fdfEfEfAfC
C:\WINDOWS\System32\Tasks\WIN-statsSystem
C:\WINDOWS\System32\Tasks\WIN-statsAdmin 


Vu que j'ai l'impression que tu n'as pas d'anvirus.
Installe Avast! : https://www.malekal.com/tutoriel-antivirus-avast

AsPhiXie · Answer

Le problème est réglé, merci beaucoup pour ton aide!

Malekal_morte- · Answer

:)

mets Avast!

Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.


Pour prévenir les sites malicieux, tu peux installer Blockulicious : https://forum.malekal.com/viewtopic.php?t=46656&start=


Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/

AsPhiXie · Answer

Merci!

Impossible de se débaraser de System Speedup

23 réponses

Discussions similaires