Prob maliciels : Comment utiliser ZHP diag et fix correctement ?

Résolu/Fermé
Signaler
Messages postés
5
Date d'inscription
samedi 27 septembre 2014
Statut
Membre
Dernière intervention
29 septembre 2014
-
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
-
Bonjour !

J'ai voulu supprimer de mon ordinateur des programmes non désirés... et en ai installé davantage, super (dont un horrible browser qui supplante mon Google Chrome, au secours!) :/ .

Du coup, en regardant sur le net, j'ai vu que plusieurs personnes conseillaient ZHP diag et ZHP fix. J'ai donc installé ce programme et effectué un rapport complet avec ZHP diag. ET là, je suis bloquée.

Comment faire en sorte que ZHP fix nettoie tous ces hôtes indésirables ?

Je serai éternellement reconnaissante à celui (ou celle) capable de me venir en aide (et mon ordi aussi, car si ça continue, je vais trouver une solution bien plus radicale pour arranger tout ça, et le pauvre, il va souffrir !).

-------
Extrait du résultat d'analyse ZHP diag :

---\\ Récapitulatif des détections trouvées sur votre station
https://nicolascoolman.eu =>PUP.Babylon
https://nicolascoolman.eu =>Hijacker.SmartBar
https://nicolascoolman.eu =>Hijacker.Browsers
https://nicolascoolman.eu =>PUP.OptimizerPro
https://nicolascoolman.eu =>PUP.AdvancedSystemProtector
https://nicolascoolman.eu =>Rogue.RegistryPowerCleaner
https://nicolascoolman.eu =>Toolbar.Conduit
https://nicolascoolman.eu =>PUP.1ClickDownloader
https://nicolascoolman.eu =>Adware.SearchSettings
http://nicolascoolman.fr/28061330-pup-directdownloader =>PUP.DirectDownloader
https://nicolascoolman.eu =>Adware.InstallCore
https://nicolascoolman.eu =>PUP.SweetIM
https://nicolascoolman.eu =>PUP.Tarma
https://nicolascoolman.eu =>PUP.MoviesToolbar
https://nicolascoolman.eu =>Spyware.GophotoIt
https://nicolascoolman.eu =>Hijacker.TornTV
https://nicolascoolman.eu =>Adware.Incredibar
https://nicolascoolman.eu =>Toolbar.Ask
https://nicolascoolman.eu =>PUP.Dealio
https://nicolascoolman.eu =>Adware.Yontoo
https://nicolascoolman.eu =>Adware.RecordNRip
https://nicolascoolman.eu =>Toolbar.DeltaSearch
https://nicolascoolman.eu =>Adware.RelevantKnowledge
~ MSI: 23 link(s) detected in 00mn 00s


ça fait beaucoup, non ?


Et 2) y a-t-il d'autres moyens d'éradiquer tout ça, si ZHP ne marche pas ?

Help !

9 réponses

Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 509
Salut,

Tu as installé des adwares et programmes parasites sur ton PC qui ouvrent des publicités et ralentissent l'ordinateur et les navigateurs WEB.
Voici la procédure à suivre pour les supprimer :

Commence par ceci :

Télécharge https://www.malekal.com/adwcleaner-supprimer-virus-adwares-pup/?t=33839&start= AdwCleaner ( d'Xplode ) sur ton bureau.
Sur la page d'AdwCleaner, à droite, clic sur la disquette grise avec la flèche verte pour lancer le téléchargement.
Lance AdwCleaner, clique sur [Scanner].
Le scan peux durer plusieurs minutes, patienter.
Une fois le scan terminé, clique sur [Nettoyer]

Une fois le nettoyage terminé, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt


0
Messages postés
5
Date d'inscription
samedi 27 septembre 2014
Statut
Membre
Dernière intervention
29 septembre 2014

Rebonjour,

Merci énormément pour ton aide !!! Voici le lien :


http://pjjoint.malekal.com/files.php?id=20140928_l10b8j10b7l15


.... Vu la longueur des fichiers supprimés, je suppose que c'était le moment d'agir !

Par contre, j'ai remarqué qu'il y a toujours un truc embêtant (qui n'est apparu il y a peu) : suivant les mots qui s'affichent dans le navigateurs, il y a un programme (visiblement nommé "Low Prices Ap") qui me met des liens vers de la pub... C'est assez disgracieux et embêtant :/ et ce n'est malheureusement pas encore parti après l'opération débroussaillage effectuée grâce à Adwcleaner.

Exemple avec le message que tu m'as envoyé hier :



Est-ce qu'il y a un moyen de virer aussi ce truc qui surligne à peu près un mot sur trois ? :/

Merci infiniment encore pour l'aide que tu m'as déjà apportée, mon ordi s'allume déjà comme dans sa prime jeunesse (il y a quatre ans tout de même...).

Excellent dimanche !
0
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 509
Réinitialise les navigateurs :

* Firefox : https://www.malekal.com/reparer-firefox/?t=36057&start=
* Google Chrome : https://www.malekal.com/reparer-google-chrome/?t=35837&start=




puis :


Faire un Scan OTL - Temps : Environ 40min
=====================
OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)


* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.dll /s
%APPDATA%\*.
%PROGRAMFILES%\*.
%PROGRAMDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup www.google.fr /c
ping www.google.fr /c
ipconfig /all /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE




0
Messages postés
5
Date d'inscription
samedi 27 septembre 2014
Statut
Membre
Dernière intervention
29 septembre 2014

Hello !

J'ai réinitialisé mon Chrome (et j'ai remis Adblockplus, histoire de pas me faire envahir de pubs). La recherche va mieux, par contre y a toujours ces liens intempestifs pénibles.

Pour le rapport OTL :

OTL.txt :

https://pjjoint.malekal.com/files.php?id=20140928_6b12q6y7s11

Et pour le Extras :

https://pjjoint.malekal.com/files.php?id=20140928_k10y14r10j7s12

Bon, j'ai effectué ce rapport sans ajouter le script dans Personnalisation (mais en cochant tous les utilisateurs).

Une fois les rapports obtenus (=ceux envoyés ici), j'ai réessayé avec le script dans Personnalisation.

Là l'analyse s'est lancée... Mais j'ai une un message d'erreur (avec "bat" dedans) qui s'est affiché à la place de l'obtention du rapport final. Est-ce que c'est dû au fait que OTL.txt et Extras.txt existaient déjà sur mon bureau ?

Je t'envoie donc mon premier essai, en espérant que ça jouera quand même (même sans avoir mis le script précis).

Bon dimanche et re-merci pour ton aide, j'avoue que sinon je serais complètement larguée :/
0
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 509
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

:OTL
[2014.09.07 12:13:38 | 000,000,000 | ---D | C] -- C:\ProgramData\ShoppingDealFactory
IE - HKU\S-1-5-21-1326741822-3893853378-2061542517-1007\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = https://search.safefinder.com/?st=ds&q={searchTerms} <b>[Pays US - 65.52.144.16]</b>
IE - HKU\S-1-5-21-1326741822-3893853378-2061542517-1007\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = https://search.safefinder.com/?st=ds&q={searchTerms} <b>[Pays US - 65.52.144.16]</b>
IE - HKU\S-1-5-21-1326741822-3893853378-2061542517-1007\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = https://search.safefinder.com/?q= <b>[Pays US - 65.52.144.16]</b>
IE - HKU\S-1-5-21-1326741822-3893853378-2061542517-1007\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = https://search.safefinder.com/?st=ds&q={searchTerms} <b>[Pays US - 65.52.144.16]</b>
IE - HKU\S-1-5-21-1326741822-3893853378-2061542517-1007\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = https://search.safefinder.com/?st=ds&q={searchTerms} <b>[Pays US - 65.52.144.16]</b>
IE - HKU\S-1-5-21-1326741822-3893853378-2061542517-1007\..\SearchScopes,DefaultScope =
IE - HKU\S-1-5-21-1326741822-3893853378-2061542517-1007\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: URL = https://search.safefinder.com/?st=ds&q={searchTerms} <b>[Pays US - 65.52.144.16]</b>
IE - HKU\S-1-5-21-1326741822-3893853378-2061542517-1000\..\SearchScopes\{25C274E6-FA5E-42BB-BB91-DDB70F16C842}: URL = http://www.search.ask.com/?l=dis{searchTerms}&locale=&apn_ptnrs=^U3&apn_dtid=^YYYYYY^YY^CH&apn_uid=BDA3D907-C1CB-4161-B7E1-B0D0EF2EE698&apn_sauid=79868A9C-E5EA-447E-B1FF-9F6E87C9D656 <b>[Pays US - 199.36.102.106]</b>

* poste le rapport ici


Redémarre l'ordinateur

0
Messages postés
5
Date d'inscription
samedi 27 septembre 2014
Statut
Membre
Dernière intervention
29 septembre 2014

Hello !

Voici le résultat du rapport :


========== OTL ==========
C:\ProgramData\ShoppingDealFactory folder moved successfully.
HKU\S-1-5-21-1326741822-3893853378-2061542517-1007\SOFTWARE\Microsoft\Internet Explorer\Main\\Search Bar| /E : value set successfully!
HKU\S-1-5-21-1326741822-3893853378-2061542517-1007\SOFTWARE\Microsoft\Internet Explorer\Main\\Search Page| /E : value set successfully!
HKU\S-1-5-21-1326741822-3893853378-2061542517-1007\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
HKU\S-1-5-21-1326741822-3893853378-2061542517-1007\SOFTWARE\Microsoft\Internet Explorer\Search\\Default_Search_URL| /E : value set successfully!
HKU\S-1-5-21-1326741822-3893853378-2061542517-1007\SOFTWARE\Microsoft\Internet Explorer\Search\\SearchAssistant| /E : value set successfully!
HKEY_USERS\S-1-5-21-1326741822-3893853378-2061542517-1007\Software\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_USERS\S-1-5-21-1326741822-3893853378-2061542517-1007\Software\Microsoft\Internet Explorer\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{006ee092-9658-4fd6-bd8e-a21a348e59f5}\ not found.
Registry key HKEY_USERS\S-1-5-21-1326741822-3893853378-2061542517-1000\Software\Microsoft\Internet Explorer\SearchScopes\{25C274E6-FA5E-42BB-BB91-DDB70F16C842}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{25C274E6-FA5E-42BB-BB91-DDB70F16C842}\ not found.

OTL by OldTimer - Version 3.2.69.0 log created on 09292014_194437



J'y comprends pas grand chose, mais j'espère que c'est réjouissant pour la survie de mon PC (et surtout, je te remercie encore une fois) ;)
0
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 509
je pense que l'on a terminé, des prb particuliers?
0
Messages postés
5
Date d'inscription
samedi 27 septembre 2014
Statut
Membre
Dernière intervention
29 septembre 2014

Non, juste quelques fichiers temporaires qui se sont mis sur le bureau et qui ont fini à la corbeille.

Merci infiniment pour ton aide, je ne reconnais plus mon ordi, il est (re)devenu tout rapide !

C'est vraiment sympa de ta part de m'avoir aidée, encore mille fois merci ;)
0
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 509
Désactive l'affichage des fichiers & systèmes et ils vont disparaitre :https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/

~~



Quelques conseils :

Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.


Pour prévenir les sites malicieux, tu peux installer Blockulicious : https://forum.malekal.com/viewtopic.php?t=46656&start=


Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/

0