Suppression de Websearches

Résolu/Fermé
Neozero Messages postés 20 Date d'inscription vendredi 12 septembre 2014 Statut Membre Dernière intervention 15 septembre 2014 - 12 sept. 2014 à 13:55
Neozero Messages postés 20 Date d'inscription vendredi 12 septembre 2014 Statut Membre Dernière intervention 15 septembre 2014 - 15 sept. 2014 à 18:58
Bonjour,

Mon PC sous windows 7 a été infecté par websearches. Je pense avoir téléchargé ce virus hier en croyant activer une mise à jour sécurité de Windows ou Java. J'étais très fatiguée et pressée. Je me rappelle qu'à un moment donné il y a eu une fenêtre qui ne me laissait pas le choix que de télécharger un "toolbar" dont je ne voulais pas, mais impossible de décocher ni d'annuler.

Navigateur habituel : Firefox
Navigateurs de secours (non-utilisés pendant l'infection) : Internet Explorer et Google Chrome.

Anti-virus : Avast
Pare-feu : Zone Alarm

Symptômes (sur Firefox) :
- Websearches en page d'accueil (je ne me suis pas servie de ce moteur de recherche mais de google pendant l'infection)
- Quand je clique sur un lien je suis re-dirigée sur une page avec un questionnaire commercial, vocal et écrit (dans ce cas je referme la page). En revanche je n'ai pas ce problème en cliquant sur un lien depuis google.
- Lenteur au démarrage de l'ordinateur.

J'ai commencé par sauvegarder mes fichiers professionnels sur une clef USB.

J'ai fait plusieurs nettoyages Ccleaner, sans résultat.

J'ai fait un scan avec Avast qui n'a rien trouvé.

J'ai parcouru les différents forums (en particulier celui-ci) à ce sujet et appliqué les méthodes recommandées.

1) Adwcleaner :
Rapport ici : https://www.cjoint.com/?3ImmmYRTuGz

2) Junware Removal Tool :
Rapport ici : https://www.cjoint.com/?3ImmrslZyyF

3) Maladresses AntiMalware :
Rapport ici : https://www.cjoint.com/?3ImmuPkRrHr

J'ai effectué un redémarrage après l'un des deux premiers programmes, puis après MalwareBytes.

Parmi les fichiers infectés trouvés par Malwarebytes, j'ai définitivement supprimé tous les fichiers temporaires et ceux de Google Chrome. J'ai pour l'instant laissé les autres en quarantaine.
QUESTION -> Puis-je supprimer ces fichiers en quarantaine sans danger ?

Tout semble maintenant fonctionner normalement sur Firefox, je n'ai pas eu besoin de le reconfigurer, il fonctionne comme avant.
J'ai ouvert Internet Explorer et Google Chrome, pas de traces de websearches, tout semble fonctionner normalement.

Par contre l'ordinateur est toujours lent au démarrage.

QUESTION -> Pensez-vous, sur la base des rapports que mon ordinateur est complètement désinfecté ?

Mes fichiers et dossiers professionnels ont été sauvegardés sur une clef USB pendant l'infection.

QUESTION -> Dois-je désinfecter la clef USB ? Si oui, comment dois-je procéder ? Avec 1) Adwcleaner, 2) Junware Removal Tool, 3) Maladresses AntiMalware ?

Autre anomalie, que j'ai découvert pendant l'infection, mais je ne sais pas si ça a un rapport : Le programme de désinstallation de programmes de Windows, n'affiche plus qu'une toute petite partie des programmes installés sur mon pc. Cela même encore maintenant. Ce qui me met dans l'impossibilité de désinstaller pas mal de programmes, et notamment les logiciels de désinfection que j'ai téléchargés.

QUESTION -> Comment puis-je faire pour réparer cette anomalie ou désinstaller les logiciels de désinfection ?

Merci d'avance pour votre aide et vos réponses.

Cordialement
A voir également:

27 réponses

cabrier Messages postés 5591 Date d'inscription dimanche 7 août 2011 Statut Contributeur sécurité Dernière intervention 27 octobre 2020 702
12 sept. 2014 à 14:30
Salut,


Pensez-vous, sur la base des rapports que mon ordinateur est complètement désinfecté ?

Non parce que tu n'as pas mis en quarantaine tous les éléments trouvés par MalwareByte ! Il te faut relancer MBAM et cocher tout.


Dois-je désinfecter la clef USB ? Si oui, comment dois-je procéder ? Avec 1) Adwcleaner, 2) Junware Removal Tool, 3) Maladresses AntiMalware ?
Oui tu peux mais avec aucun de ces outils. Ce serait même important que tu la vaccines !


Comment puis-je faire pour réparer cette anomalie ou désinstaller les logiciels de désinfection ?
Nous avons un outil pour ça qui s'utilise a la fin d'une désinfection, ce qui n'est pas le cas chez toi !




Donc :

1 - Relance MBAM, vérifie que tout soit coché et met tout en quarantaine
tuto : https://forum.security-x.fr/tutoriels-317/tutoriel-malwarebytes-anti-malware-22723/?PHPSESSID=0smgpo5dai63srhr1crq4ujq5t
Poste le rapport.


2 - * Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau,
/!\Il est très important de l'enregistrer sur le bureau / !\

* Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et laisse se dérouler l'installation
/!\L'outil a créé 2 icônes ZHPDiag , ZHPFix /!\
/!\Utilisateurs de Vista et Windows 7/8 : Clic droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur » /!\

* A l'ouverture le programme te proposes plusieurs options, cliques sur "Complet" et laisse travailler l'outil.


* ZHPDiag va alors analyser le contenu de ton ordinateur à la recherche d'informations sur ton système d'exploitation, la base de registre... Patiente jusqu'à la fin de l'analyse. Il peut arriver que le logiciel donne l'impression d'être bloqué ; patiente !

* Laisse l'outil travailler, il peut être assez long.

* Le rapport s'ouvre dans le bloc note, ferme le car il est aussi enregistré sur ton bureau sous le nom ZHPDiag.txt et dans le dossier où est installé ZHPDiag (en général C:\ZHP\).

* Transmets moi le lien du fichier par l'intermédiaire d'un dépôt de fichiers.

* Rappel des dépôts : cjoint ou pjoint


A+


0
Neozero Messages postés 20 Date d'inscription vendredi 12 septembre 2014 Statut Membre Dernière intervention 15 septembre 2014
12 sept. 2014 à 15:24
Bonjour Cabrier ! :)

Merci pour tes retours ! :)

Je suis tes instructions et te poste les rapports :)

Cordialement
0
Neozero Messages postés 20 Date d'inscription vendredi 12 septembre 2014 Statut Membre Dernière intervention 15 septembre 2014
12 sept. 2014 à 15:46
Voici le rapport du second scan de MalwareBytes :
https://www.cjoint.com/?3ImpSU9GALf
Aucun fichier infecté trouvé.

Il est probable que les fichiers qui n'étaient pas en quarantaine dans le 1er scan soient ceux que j'aie définitivement supprimé, non ?
Et du coup, ces fameux fichiers qui sont en quarantaine dans le 1er scan, est-ce que je peux les supprimer définitivement ?

Je lance ZHP diag et j'envoie le rapport :)
0
Neozero Messages postés 20 Date d'inscription vendredi 12 septembre 2014 Statut Membre Dernière intervention 15 septembre 2014
12 sept. 2014 à 16:07
Voici le rapport du scan complet avec ZHP diag :
https://www.cjoint.com/?3ImqhxoMeem
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
cabrier Messages postés 5591 Date d'inscription dimanche 7 août 2011 Statut Contributeur sécurité Dernière intervention 27 octobre 2020 702
12 sept. 2014 à 16:22
Re,


Ce script va cibler certains éléments à supprimer :

* Ferme toutes tes applications en cours
* Sélectionne et copie toutes les lignes en gras et italique suivantes depuis et y compris Script ZHPFIX :


Script ZHPFix
[MD5.00000000000000000000000000000000] [APT] [EDVOEF] (...) -- C:\Users\Jude\AppData\Roaming\EDVOEF.exe (.not file.) [0]
[MD5.00000000000000000000000000000000] [APT] [UZOISAB] (...) -- C:\Users\Jude\AppData\Roaming\UZOISAB.exe (.not file.) [0]
O43 - CFD: 24/09/2012 - 21:12:28 - [] ----D C:\ProgramData\InstallMate
O43 - CFD: 10/09/2014 - 18:49:55 - [] ----D C:\ProgramData\TVWizard
O45 - LFCP:[MD5.D4E92157491AC3B5BF8E8A8CC87230C4] - 12/09/2014 - 07:56:20 ---A- - C:\Windows\Prefetch\UPMBOT_FR_76.EXE-C3D5F15E.pf
O61 - LFC: 10/09/2014 - 15:54:20 ---A- . (...) -- C:\Users\Jude\AppData\Local\Temp\6BE3tmp\vopackage.exe [291838]
O61 - LFC: 10/09/2014 - 15:54:20 ---A- . (...) -- C:\Users\Jude\AppData\Local\Temp\6BE8tmp\mybestofferstoday.exe [3322616]
O61 - LFC: 10/09/2014 - 15:54:20 ---A- . (.File Syn.) -- C:\Users\Jude\AppData\Local\Temp\6BE4tmp\lly_webssearches.exe [665976]
O61 - LFC: 10/09/2014 - 15:54:20 ---A- . (.globalUpdate.) -- C:\Users\Jude\AppData\Local\Temp\comh.339809\GoogleCrashHandler.exe [72872]
O61 - LFC: 10/09/2014 - 15:54:20 ---A- . (.globalUpdate.) -- C:\Users\Jude\AppData\Local\Temp\comh.339809\GoogleUpdate.exe [68608]
O61 - LFC: 10/09/2014 - 15:54:20 ---A- . (.globalUpdate.) -- C:\Users\Jude\AppData\Local\Temp\comh.339809\GoogleUpdateBroker.exe [46080]
O61 - LFC: 10/09/2014 - 15:54:20 ---A- . (.globalUpdate.) -- C:\Users\Jude\AppData\Local\Temp\comh.339809\GoogleUpdateOnDemand.exe [46080]
O61 - LFC: 10/09/2014 - 15:54:20 ---A- . (.globalUpdate.) -- C:\Users\Jude\AppData\Local\Temp\comh.339809\goopdate.dll [761856]
O61 - LFC: 10/09/2014 - 15:54:20 ---A- . (.globalUpdate.) -- C:\Users\Jude\AppData\Local\Temp\comh.339809\goopdateres_en.dll [26792]
O61 - LFC: 10/09/2014 - 15:54:20 ---A- . (.globalUpdate.) -- C:\Users\Jude\AppData\Local\Temp\comh.339809\npGoogleUpdate4.dll [220672]
O61 - LFC: 10/09/2014 - 15:54:20 ---A- . (.globalUpdate.) -- C:\Users\Jude\AppData\Local\Temp\comh.339809\psmachine.dll [155648]
O61 - LFC: 10/09/2014 - 15:54:20 ---A- . (.globalUpdate.) -- C:\Users\Jude\AppData\Local\Temp\comh.339809\psuser.dll [155648]
HKLM\SOFTWARE\Microsoft\Tracing\BackupStack_RASAPI32
HKLM\SOFTWARE\Microsoft\Tracing\BackupStack_RASMANCS
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\BetterInstaller_RASAPI32
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\BetterInstaller_RASMANCS
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\sweetimsetup(1)_RASAPI32
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\sweetimsetup(1)_RASMANCS
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\Vid-Saver-rs_2012-09-20_RASAPI32
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\Vid-Saver-rs_2012-09-20_RASMANCS
C:\ProgramData\InstallMate
C:\ProgramData\TVWizard
O43 - CFD: 06/10/2012 - 12:56:15 - [] ----D C:\ProgramData\McAfee
R3 - URLSearchHook: (no name) [64Bits] - {d7f26d0e-9801-45c3-a091-8a65e4ed73b5} . (.Microsoft Corporation - Navigateur Internet.) (No version) -- (.not file.)
O2 - BHO: Google Toolbar Helper [64Bits] - {AA58ED58-01DD-4d91-8333-CF10577473F7} . (.Google Inc. - Google Toolbar.) -- C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll
O3 - Toolbar: avast! Online Security - [HKLM]{318A227B-5E9F-45bd-8999-7F8F10CA4CF5} . (...) -- (.not file.)
O3 - Toolbar: Google Toolbar - [HKLM]{2318C2B1-4965-11d4-9B18-009027A5CD4F} . (.Google Inc. - Google Toolbar.) -- C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll
O3 - Toolbar\WebBrowser: (no name) - [HKCU]{D7F26D0E-9801-45C3-A091-8A65E4ED73B5} Clé orpheline
O3 - Toolbar\WebBrowser: (no name) - [HKCU]{2318C2B1-4965-11D4-9B18-009027A5CD4F} Clé orpheline
[HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Protection_ZoneAlarm Toolbar]
O39 - APT: EDVOEF - (...) -- C:\Windows\Tasks\EDVOEF.job [1334]
O39 - APT: EDVOEF - (...) -- C:\Windows\System32\Tasks\EDVOEF [1334]
O39 - APT: UZOISAB - (...) -- C:\Windows\Tasks\UZOISAB.job [1336]
O39 - APT: UZOISAB - (...) -- C:\Windows\System32\Tasks\UZOISAB [1336]
[HKCU\Software\EDVOEF]
[HKCU\Software\UZOISAB]
[HKLM\Software\Wow6432Node\211bfb2f-408b-4a07-a4a1-c44a9c0973e1]
O43 - CFD: 12/09/2014 - 10:49:50 - [] ----D C:\ProgramData\Browser
O43 - CFD: 12/09/2014 - 11:58:11 - [] ----D C:\ProgramData\dKttJR
ShortcutFix
PROXYFix
EmptyFlash
EmptyPrefetch
EmptyTemp
EmptyCLSID




* Lance ZHPFix via le raccourci sur ton Bureau, (Si tu es sous Vista ou Windows 7 ou Windows 8 n'oublie pas clic droit ==> en tant qu'administrateur")
* Si tu obtiens le message "Voulez-vous autoriser le programme suivant..."Tu réponds "Oui"
* Clique sur le bouton "IMPORTER"
* Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes

* Clique sur le bouton «GO» pour le lancer le nettoyage
* A la demande, confirme le nettoyage des données en cliquant sur [OK]
* Patiente le temps du traitement.
* ZHPFix va te demander si tu souhaites vider ta corbeille, clique sur ton choix (le traitement peut être long suivant la quantité de données à supprimer)
* Un rapport nommé ZHPFixReport.txt sera créé et sauvegardé sur le bureau
* Ce rapport se trouve aussi ici C:\ZHP\ZHPFix[R1].txt
* Copie/colle la totalité du rapport dans ta prochaine réponse

A+
0
Neozero Messages postés 20 Date d'inscription vendredi 12 septembre 2014 Statut Membre Dernière intervention 15 septembre 2014
12 sept. 2014 à 16:34
Merci pour ta réactivité Cabrier ! :)

J'ai suivi tes instructions. Voici le rapport du scan de ZHP Fix :
https://www.cjoint.com/?3ImqJbAg1rt
0
cabrier Messages postés 5591 Date d'inscription dimanche 7 août 2011 Statut Contributeur sécurité Dernière intervention 27 octobre 2020 702
12 sept. 2014 à 16:37
Neorezo,


Comment va ta machine maintenant ?

A+
0
Neozero Messages postés 20 Date d'inscription vendredi 12 septembre 2014 Statut Membre Dernière intervention 15 septembre 2014
12 sept. 2014 à 16:48
Tout semble fonctionner correctement.

Au re-démarrage, c'est plus rapide :)

Par contre toujours cette anomalie dans l'utilitaire de désinstallation des programmes (la plupart des programmes n'y figurent pas...) : mais ça n'a peut-être aucun rapport...

Tu penses que c'est désinfecté ?

Je peux supprimer les fichiers qui sont en quarantaine ?

Je dois désinfecter ma clef usb avec quoi ? Avast ? Tu parlais de la vacciner : on fait ça comment ?

En tout cas merci d'être réactif comme ça ! :)
0
cabrier Messages postés 5591 Date d'inscription dimanche 7 août 2011 Statut Contributeur sécurité Dernière intervention 27 octobre 2020 702
12 sept. 2014 à 17:06
Neozero


Cites moi quelques programmes qui ne figurent plus dans "Programmes et Fonctionnalités".


Pour les clés USB et disques amovibles, voici l'outil que nous utilisons.
https://www.usb-antivirus.com/fr/tutoriels/
Tu trouveras sur cette page le lien de téléchargement et les différentes utilisations. (en ce qui te concerne c'est la vaccination !)




Si plus de problème ou de questions on terminera comme ceci :

Les programmes que nous avons utilisés ne doivent pas être conservés.
Beaucoup d'entre eux peuvent être dangereux et entrainer des dommages irréversibles sur ton système s'ils sont utilisés sans l'aide d'une personne qualifiée, de plus, fréquemment modifiés et mis à jour par leurs auteurs ils deviennent très rapidement obsolètes, en plus d'encombrer inutilement ton bureau.

1. Désinstallation des outils et purge de la Restauration système

- Télécharge DelFix (d'Xplode) sur ton bureau.
- Lance le, (avec Vista/Seven, clic droit dessus, et sur exécuter en tant qu'administrateur)
- Sélectionne "Réactiver l'UAC"
- Sélectionne "Supprimer les outils de désinfection"
- Sélectionne également "Purger la restauration système"
- Clique sur "Exécuter"
- Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.

Attention : Chaque fois que tu relances Delfix le rapport précédent est supprimé, alors ne l'exécute qu'une fois avec les options cochées.


@+



0
Neozero Messages postés 20 Date d'inscription vendredi 12 septembre 2014 Statut Membre Dernière intervention 15 septembre 2014
12 sept. 2014 à 17:26
Merci beaucoup pour tes réponses et ton aide Carlier.

Je vais suivre tes instructions pour DelFix et suivre le tuto pour les clefs USB :)

Mais avant de faire ça : est-ce que je peux supprimer définitivement les fichiers infectés qui sont en quarantaine dans MalwareBytes ?

Pour répondre à ta question, les programmes qui ne s'affichent pas dans l'utilitaire de désinstallation, pour n'en citer que quelques uns :
Avast, Mac Affee (que je n'ai pas téléchargé et toujours refusé), Nero, Ccleaner, Paint.net, Gimp, Oppen Office, Microsoft Office 2010, Skype, CanonScanLide (scanner), Canon Canon LBP6020, adsl tv (que j'ai vainement essayé de désinstaller), Amazon (qui est arrivé là je ne sais comment), Ebay (idem), tous les navigateurs, tous les logiciels de désinfection que j'ai téléchargé aujourd'hui sauf Malwarebytes), etc...

Bref, c'est plus simple de dire quels programmes figurent dans cet utilitaire : A part les programmes de Windows, il n'y a que Adobe Reader, Dropbox, Google Chrome et Malwarebytes.

à + :)
0
cabrier Messages postés 5591 Date d'inscription dimanche 7 août 2011 Statut Contributeur sécurité Dernière intervention 27 octobre 2020 702
12 sept. 2014 à 18:18
Neozero,

est-ce que je peux supprimer définitivement les fichiers infectés qui sont en quarantaine dans MalwareBytes ?

oui.


Pour Delfix, plus tard !


Refais moi un ZHPDiag pour voir.

A+
0
cabrier Messages postés 5591 Date d'inscription dimanche 7 août 2011 Statut Contributeur sécurité Dernière intervention 27 octobre 2020 702
Modifié par cabrier le 12/09/2014 à 18:31
Neo,


Si tu as déjà utilisé Regedit va sur cette clé et dis moi si tu vois tous tes programmes ou uniquement ceux visionnés dans "Programmes et Fonctionnalités"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall


S'ils ne figurent pas là dedans c'est que CCleaner à viré ces clés.
Il ne faut pas jouer avec CCleaner pour nettoyer le registre Windows, cela ne sert à rien et de temps en temps ...ben, il pose problème !

Si tu veux retrouver tes prog dans ton Panneau de config, tu réinstalle !!!

A+

--------Contributeur Sécurité---------
Heureux ceux qui peuvent donner sans s'en souvenir et prendre sans oublier !
0
Neozero Messages postés 20 Date d'inscription vendredi 12 septembre 2014 Statut Membre Dernière intervention 15 septembre 2014
12 sept. 2014 à 18:55
Hello Cabrier,

Merci pour tes réponses ! :)

J'ai fait le scan complet ZHPdiag que tu m'as demandé. Voici le rapport :
https://www.cjoint.com/?3ImsNKgb3u0

Concernant ce que tu me dis sur Ccleaner, je ne comprends pas très bien. Je l'utilise très peu, toujours avec ses paramétrages par défaut...

Je vais essayer de faire ce que tu me dis avec Regedit, mais je ne suis pas certaine d'avoir tout compris. Bref, j'essaie et je te dis ce que je trouve.

Tu parles de ré-installer ? Quoi ? Comment ?

Sinon, en attendant ta réponse, je me suis occupée de ma clé usb avec usbfix en suivant les tutos sur le lien que tu m'as indiqué :
Par précaution, j'ai d'abord fait un nettoyage et usbfix n'a rien trouvé d'infecté. Voici le scan :
https://www.cjoint.com/?3ImsR6By7mf

Ensuite, j'ai fait comme tu me l'as conseillé, la vaccination de la clef en suivant le tuto. Là, problème : depuis la vaccination de la clef je ne peux plus ouvrir les document Word et excell qui s'y trouvent... (message d'échec à l'ouverture). Sur le site que tu m'as indiqué il y a un tuto pour supprimer la vaccination, mais en téléchargeant un autre logiciel. Je vais essayer de me débrouiller avec ça.
0
Neozero Messages postés 20 Date d'inscription vendredi 12 septembre 2014 Statut Membre Dernière intervention 15 septembre 2014
12 sept. 2014 à 19:13
Je suis allée dans Regedit et j'ai scrupuleusement suivi le chemin que tu m'as indiqué, à savoir :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall

Dans ce dossier je n'ai trouvé ni les programmes qui n'apparaissent plus dans "Programmes et Fonctionnalités" ni même les rares qui y figurent... Tu es certain que c'est dans "uninstall" que je dois aller voir ? Parce que ces programmes qui n'apparaissent pas dans "Programmes et Fonctionnalités" fonctionnent bel et bien pour la plupart...
0
cabrier Messages postés 5591 Date d'inscription dimanche 7 août 2011 Statut Contributeur sécurité Dernière intervention 27 octobre 2020 702
12 sept. 2014 à 20:02
Neozero,


Bigre !
Là, problème : depuis la vaccination de la clef je ne peux plus ouvrir les document Word et excell qui s'y trouvent...

Tu as supprimé la vaccination ? mais bizarre ça, je vais vérifier et informer l'auteur du programme.
Tu as pu recopier tes fichiers sur ton HDD ? Essaie de le faire puis recopie les sur ta clé pour voir s'ils s'ouvrent.





Dans ce dossier je n'ai trouvé ni les programmes qui n'apparaissent plus dans "Programmes et Fonctionnalités" ni même les rares qui y figurent...


Tu n'as pas du aller sur la bonne clé de registre.
Peu importe, ne continue pas car toucher à cette Base de Registre est très dangereux pour ton PC.



Et oui pour retrouver les programmes qui n'apparaissent plus par le panneau de config , il te faut les réinstaller sur ton PC et là tu les verras apparaitre !
Mais bon, c'est galère !

A+

0
Neozero Messages postés 20 Date d'inscription vendredi 12 septembre 2014 Statut Membre Dernière intervention 15 septembre 2014
12 sept. 2014 à 20:48
Hello Cabrier,

Merci pour ta réponse ! :)

Alors, pour la clef usb, non, je n'ai pas encore tenté de supprimer la vaccination. Pour faire ça il faut que je télécharge un énième logiciel dont je crains de ne pas savoir me débarasser ensuite ;) Donc je préfère d'abord terminer avec la désinfection du virus et la désinstallation des programmes de désinfection ;) Ce n'est pas super-grave, parce que ces fichiers pros sont aussi sur mon pc.

Dans mon message précédent je t'avais posté le rapport du 2ème scan de ZHP diag que tu m'as demandé, le re-voici : https://www.cjoint.com/?3ImsNKgb3u0
Penses-tu que mon pc soit désinfecté ?
Moi je ne vois plus de problème apparent, à part ce mystère dans l'utilitaire de désinstallation des programmes.

Si tu penses que oui, dois-je me lancer dans la désinstallation des outils de désinfection et la purge de la restauration système ?

Pour la clef de registre dans regedit, j'ai suivi très exactement le chemin que tu m'as indiqué, dans cet ordre exactement, et je l'ai fait plusieurs fois pour être certaine de ne pas me tromper.

Tu me dis qu'il faut ré-installer les programmes. Mais le problème, c'est que je ne peux pas les désinstaller pour pouvoir les ré-installer ensuite... D'ailleurs, plusieurs des logiciels de désinfection que j'ai installé aujourd'hui n'apparaissent pas dans l'utilitaire de désinstallation des programmes. Je les ai tous installés après avoir tenté un nettoyage avec Ccleaner (avec le paramétrage par défaut) : certains y sont et d'autres pas...

Si jamais tu fatigues sur mon "cas", tu peux si tu veux juste me répondre sur ce qui concerne strictement la procédure de désinfection et de désinstallation des programmes de désinfection et je peux voir ce problème avec l'utilitaire de désinstallation de programmes plus tard :)

Merci d'avance pour tes réponses :)

Cordialement
0
cabrier Messages postés 5591 Date d'inscription dimanche 7 août 2011 Statut Contributeur sécurité Dernière intervention 27 octobre 2020 702
12 sept. 2014 à 21:15
Neozero,


Si jamais tu fatigues sur mon "cas",....

Non, jamais ! nous sommes aussi à l'école et un PC est tellement complexe maintenant que nous avons à apprendre tous les jours.

Ceci dit comme je suis un bénévole (comme tous les contributeurs sécurité ici) cela veut dire que nous sommes passionnés par ce que nous faisons, alors il en faut plus que cela pour "fatiguer"....... mais c'est vrai ça arrive ;)



Il existe un programme de désinstallation plus puissant que tu pourras trouver ici, télécharger et utiliser (il ne pose pas de problème):
https://www.commentcamarche.net/telecharger/utilitaires/19405-revo-uninstaller/




Et oui je vois dans la liste des programmes installés sur ta machine les dossiers qui les contiennent et que tu ne vois pas par le panneau de config.

Les clés de registre ont été supprimées .... et là je ne peux rien.

-----------------------------
On refait un fix !

Ce script va cibler certains éléments à supprimer :

* Ferme toutes tes applications en cours
* Sélectionne et copie toutes les lignes en gras et italique suivantes depuis et y compris Script ZHPFIX :


Script ZHPFix
M2 - MFEP: RegExtension {e4f94d1e-2f53-401e-8885-681602c0ddd8} . (...) -- C:\ProgramData\McAfee Security Scan\Extensions\{e4f94d1e-2f53-401e-8885-681602c0ddd8}.xpi
O3 - Toolbar: (no name) - [HKLM]{CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} Clé orpheline
[MD5.2A3FB4C98F139038E23330D2439DB8A4] [APT] [FacebookUpdateTaskUserS-1-5-21-947672991-1386710387-2999027449-1000Core] (.Facebook Inc..) -- C:\Users\Jude\AppData\Local\Facebook\Update\FacebookUpdate.exe [138096]
[MD5.2A3FB4C98F139038E23330D2439DB8A4] [APT] [FacebookUpdateTaskUserS-1-5-21-947672991-1386710387-2999027449-1000UA] (.Facebook Inc..) -- C:\Users\Jude\AppData\Local\Facebook\Update\FacebookUpdate.exe [138096]
[MD5.00000000000000000000000000000000] [APT] [{A8A5F243-CDAD-49F2-80C6-294AD44E914C}] (...) -- E:\unInstaller.exe (.not file.) [0]
O39 - APT: FacebookUpdateTaskUserS-1-5-21-947672991-1386710387-2999027449-1000Core - (.Facebook Inc..) -- C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-947672991-1386710387-2999027449-1000Core.job [902]
O39 - APT: FacebookUpdateTaskUserS-1-5-21-947672991-1386710387-2999027449-1000Core - (.Facebook Inc..) -- C:\Windows\System32\Tasks\FacebookUpdateTaskUserS-1-5-21-947672991-1386710387-2999027449-1000Core [902]
O39 - APT: FacebookUpdateTaskUserS-1-5-21-947672991-1386710387-2999027449-1000UA - (.Facebook Inc..) -- C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-947672991-1386710387-2999027449-1000UA.job [924]
O39 - APT: FacebookUpdateTaskUserS-1-5-21-947672991-1386710387-2999027449-1000UA - (.Facebook Inc..) -- C:\Windows\System32\Tasks\FacebookUpdateTaskUserS-1-5-21-947672991-1386710387-2999027449-1000UA [924]
O41 - Driver: (aswKbd) . (. - .) - C:\windows\system32\drivers\aswKbd.sys (.not file.)
O41 - Driver: (aswTdi) . (. - .) - C:\windows\system32\drivers\aswTdi.sys (.not file.)
[HKCU\Software\UsbFix]
O43 - CFD: 03/06/2014 - 03:33:40 - [] ----D C:\ProgramData\McAfee Security Scan
O61 - LFC: 12/09/2014 - 18:29:52 ---A- . (...) -- C:\Users\Jude\AppData\Local\Temp\dropbox_sqlite_ext.{5f3e3153-5bce-5766-8f84-3e3e7ecf0d81}.tmp0sx483.dll [43008]
O63 - Logiciel: UsbFix - (.El Desaparecido - www.usbfix.net - www.sosvirus.net.) [HKLM] -- Usbfix
SS - | Demand 09/04/2014 289256 | (McComponentHostService) . (.McAfee, Inc..) - C:\Program Files\McAfee Security Scan\3.8.150\McCHSvc.exe
[HKCU\Software\MCAFEE]
OPT:O23 - Service: Service Bonjour (Bonjour Service) . (.Apple Inc. - Bonjour Service.) - C:\Program Files\Bonjour\mDNSResponder.exe
OPT:SR - | Auto 30/08/2011 462184 | (Bonjour Service) . (.Apple Inc..) - C:\Program Files\Bonjour\mDNSResponder.exe
EmptyFlash
EmptyPrefetch
EmptyTemp
EmptyCLSID




* Lance ZHPFix via le raccourci sur ton Bureau, (Si tu es sous Vista ou Windows 7 ou Windows 8 n'oublie pas clic droit ==> en tant qu'administrateur")
* Si tu obtiens le message "Voulez-vous autoriser le programme suivant..."Tu réponds "Oui"
* Clique sur le bouton "IMPORTER"
* Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes

* Clique sur le bouton «GO» pour le lancer le nettoyage
* A la demande, confirme le nettoyage des données en cliquant sur [OK]
* Patiente le temps du traitement.
* ZHPFix va te demander si tu souhaites vider ta corbeille, clique sur ton choix (le traitement peut être long suivant la quantité de données à supprimer)
* Un rapport nommé ZHPFixReport.txt sera créé et sauvegardé sur le bureau
* Ce rapport se trouve aussi ici C:\ZHP\ZHPFix[R1].txt
* Copie/colle la totalité du rapport dans ta prochaine réponse

A+

0
Neozero Messages postés 20 Date d'inscription vendredi 12 septembre 2014 Statut Membre Dernière intervention 15 septembre 2014
12 sept. 2014 à 21:51
Oui, je sais bien que vous êtes bénévole, c'est pour ça que je craignais d'abuser de ton temps ;) En tout cas merci pour toute cette passion qui nous porte secours ! :)

J'ai fait ce que tu m'as demandé. Voici le rapport :
https://www.cjoint.com/?3ImvU0vK4oj

Merci pour le logiciel de désinstallation ! :) ça va me simplifier les choses ! :)
0
cabrier Messages postés 5591 Date d'inscription dimanche 7 août 2011 Statut Contributeur sécurité Dernière intervention 27 octobre 2020 702
12 sept. 2014 à 22:58
Neozero,


OK pour moi c'est bon.

Tu peux utiliser DelFix pour nettoyer ton bureau.

Les programmes que nous avons utilisés ne doivent pas être conservés.
Beaucoup d'entre eux peuvent être dangereux et entrainer des dommages irréversibles sur ton système s'ils sont utilisés sans l'aide d'une personne qualifiée, de plus, fréquemment modifiés et mis à jour par leurs auteurs ils deviennent très rapidement obsolètes, en plus d'encombrer inutilement ton bureau.

1. Désinstallation des outils et purge de la Restauration système

- Télécharge DelFix (d'Xplode) sur ton bureau.
- Lance le, (avec Vista/Seven, clic droit dessus, et sur exécuter en tant qu'administrateur)
- Sélectionne "Réactiver l'UAC"
- Sélectionne "Supprimer les outils de désinfection"
- Sélectionne également "Purger la restauration système"
- Clique sur "Exécuter"
- Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.

Attention : Chaque fois que tu relances Delfix le rapport précédent est supprimé, alors ne l'exécute qu'une fois avec les options cochées.


@+
0
Neozero Messages postés 20 Date d'inscription vendredi 12 septembre 2014 Statut Membre Dernière intervention 15 septembre 2014
12 sept. 2014 à 23:25
J'ai fait comme tu m'as dit avec Delfix.
Voici le rapport :
https://www.cjoint.com/?3ImxsXy9fFQ

Il n'a pas désinstallé MalwareBytes (qui est bien installé sur le bureau)
Par contre il a désinstallé les autres logiciels de désinfection et supprimé les rapports correspondant.

Et il s'est auto-supprimé !... (c'est normal ça ?) Mais le rapport est resté...

Sinon, j'ai téléchargé Revo Uninstaller : même problème qu'avec l'utilitaire de désinstallation ; il ne détecte pas plus de programmes installés sur mon pc.

Arf ! Désolée que l'affaire soit aussi compliquée...
0