Désinfection d'un PC passé à Windows 10 Résolu/Fermé

Question

Bonjour, 

J'ai migré il y a quelques jours de Windows 7 vers Windows 10 et je crois bien avoir téléchargé en quelques surfs un peu mal contrôlés plusieurs saloperies, dont je me suis en partie débarrassé grâce à :

1) AdwCleaner
2) MBAM
3) Ccleaner

Le système est déjà bien plus stable, mais j'aimerais être vraiment être certain qu'il est sain afin de pouvoir en créer une image de sauvegarde propre. 

Quelqu'un peut-il m'aider SVP ?

Merci :)


Configuration: Windows / Firefox 40.0

Malekal_morte- · Answer

Salut,


Suis le tutoriel FRST.
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :

 FRST.txt
 Shortcut.txt
 Additionnal.txt

Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à  ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

Capdec · Answer

Salut ma vieille^^,

Heureux de te retrouver en plein orage^^ !

- Voici ce que j'avais d'abord préparé tout seul (comme un grand), au cas où... :

1) AdwCleaner[S0].txt :
https://pjjoint.malekal.com/files.php?id=20150813_n14k7g15z10z14

2) MBAM :
https://pjjoint.malekal.com/files.php?id=20150813_e9q14y6u8p7

3)  ZHPDiag.txt
https://pjjoint.malekal.com/files.php?id=20150813_w6h15j9q14e13

- Voici maintenant ce que tu m'as demandé et dans l'ordre :

1) FRST.txt : 
https://pjjoint.malekal.com/files.php?id=20150813_y10e11u12b5x15

2) Addition.txt :
https://pjjoint.malekal.com/files.php?id=20150813_v15e10t10h5n15

3) Shortcut.txt
https://pjjoint.malekal.com/files.php?id=20150813_k8j11c12c12u11

Bonne lecture. J'attends tes ordres avec impatience^^.

JL :)

Malekal_morte- · Answer

Les rapports FRST ne montrent rien de malicieux !

Capdec · Answer

Merci.

Pourrais-tu tout de même regarder les 3 précédents et surtout le dernier : ZHPDiag.txt ?

Capdec · Answer

Merci beaucoup pour cette nouvelle réponse.

Je pensais qu'il y avait un rootkit et/ou une backdoor. Je peux vraiment être tranquille sur ce point ?

Quant aux deux logiciels Lavasoft dont tu parles, ils n'apparaissent pas dans le liste des programmes installés mais ils apparaissent bien en tâche de fond et quand je veux me débarrasxser de tout le répertoire la suppression débute mais elle se bloque car « le dossier ou l'un des fichiers est ouvert dans un autre programme».

Comment faire pour virer tout ça STP ?

Malekal_morte- · Answer

bsdriver.sys est une merdouille abengine, mais il n'a plus l'air actif.

Regarde bien dans les programmes, si tu n'as pas Web Companion.


Pour tout virer :

Voici la correction à  effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit : 

HKU\S-1-5-21-1415780141-1062335763-1987920128-1000\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe [1381648 2015-06-08] (Lavasoft)
R2 LavasoftTcpService; C:\Program Files (x86)\Lavasoft\Web Companion\TcpService\2.3.4.7\LavasoftTcpService.exe [2751792 2015-06-08] (Lavasoft Limited)
R2 SearchProtectionService; C:\Program Files (x86)\Lavasoft\Web Companion\Application\Lavasoft.SearchProtect.WinService.exe [19816 2015-06-08] ()
2015-08-13 11:36 - 2015-08-13 11:36 - 00014040 ____N C:\WINDOWS\system32\Drivers\bsdriver.sys
2015-08-13 11:33 - 2015-08-13 11:33 - 00000217 _____ C:	ask.vbs
2015-08-13 11:12 - 2015-08-13 12:40 - 00002872 _____ C:\WINDOWS\SysWOW64\LavasoftTcpServiceOff.ini
2015-08-13 11:12 - 2015-08-13 12:40 - 00002872 _____ C:\WINDOWS\system32\LavasoftTcpServiceOff.ini
2015-08-13 11:12 - 2015-08-13 11:12 - 00000000 ____D C:\Users\JLB\AppData\Roaming\Lavasoft
2015-08-13 11:12 - 2015-08-13 11:12 - 00000000 ____D C:\Users\JLB\AppData\Local\Software
2015-08-13 11:12 - 2015-08-13 11:12 - 00000000 ____D C:\Users\JLB\AppData\Local\Lavasoft
2015-08-13 11:12 - 2015-08-13 11:12 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lavasoft
2015-08-13 11:12 - 2015-08-13 11:12 - 00000000 ____D C:\ProgramData\Lavasoft
2015-08-13 11:12 - 2015-08-13 11:12 - 00000000 ____D C:\Program Files (x86)\Software
2015-08-13 11:12 - 2015-08-13 11:12 - 00000000 ____D C:\Program Files (x86)\Lavasoft
2015-08-13 11:12 - 2015-06-08 14:13 - 00428880 _____ (Lavasoft Limited) C:\WINDOWS\system32\LavasoftTcpService64.dll
2015-08-13 11:12 - 2015-06-08 14:13 - 00348488 _____ (Lavasoft Limited) C:\WINDOWS\SysWOW64\LavasoftTcpService.dll


Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message. 

Redémarre l'ordinateur 
 
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

Capdec · Answer

Bonsoir,

Comme tu pourras le voir ci-dessous, je viens d'effectuer la correction FRST.

Par contre je ne sais pas quoi faire face à « bsdriver.sys » et s'il faut que je crée un « Malekal Live CD »...  

J'attends donc ton nouveau diagnostic et autres conseils utiles. Merci !



Résultats de correction de Farbar Recovery Scan Tool (x64) Version:14-08-2015 01
Exécuté par JLB (2015-08-14 23:28:43) Run:1
Exécuté depuis C:\Users\JLB\Desktop
Profils chargés: JLB (Profils disponibles: JLB & DefaultAppPool)
Mode d'amorçage: Normal
==============================================

fixlist contenu:


HKU\S-1-5-21-1415780141-1062335763-1987920128-1000\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe [1381648 2015-06-08] (Lavasoft)
R2 LavasoftTcpService; C:\Program Files (x86)\Lavasoft\Web Companion\TcpService\2.3.4.7\LavasoftTcpService.exe [2751792 2015-06-08] (Lavasoft Limited)
R2 SearchProtectionService; C:\Program Files (x86)\Lavasoft\Web Companion\Application\Lavasoft.SearchProtect.WinService.exe [19816 2015-06-08] ()
2015-08-13 11:36 - 2015-08-13 11:36 - 00014040 ____N C:\WINDOWS\system32\Drivers\bsdriver.sys
2015-08-13 11:33 - 2015-08-13 11:33 - 00000217 _____ C:	ask.vbs
2015-08-13 11:12 - 2015-08-13 12:40 - 00002872 _____ C:\WINDOWS\SysWOW64\LavasoftTcpServiceOff.ini
2015-08-13 11:12 - 2015-08-13 12:40 - 00002872 _____ C:\WINDOWS\system32\LavasoftTcpServiceOff.ini
2015-08-13 11:12 - 2015-08-13 11:12 - 00000000 ____D C:\Users\JLB\AppData\Roaming\Lavasoft
2015-08-13 11:12 - 2015-08-13 11:12 - 00000000 ____D C:\Users\JLB\AppData\Local\Software
2015-08-13 11:12 - 2015-08-13 11:12 - 00000000 ____D C:\Users\JLB\AppData\Local\Lavasoft
2015-08-13 11:12 - 2015-08-13 11:12 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lavasoft
2015-08-13 11:12 - 2015-08-13 11:12 - 00000000 ____D C:\ProgramData\Lavasoft
2015-08-13 11:12 - 2015-08-13 11:12 - 00000000 ____D C:\Program Files (x86)\Software
2015-08-13 11:12 - 2015-08-13 11:12 - 00000000 ____D C:\Program Files (x86)\Lavasoft
2015-08-13 11:12 - 2015-06-08 14:13 - 00428880 _____ (Lavasoft Limited) C:\WINDOWS\system32\LavasoftTcpService64.dll
2015-08-13 11:12 - 2015-06-08 14:13 - 00348488 _____ (Lavasoft Limited) C:\WINDOWS\SysWOW64\LavasoftTcpService.dll 



HKU\S-1-5-21-1415780141-1062335763-1987920128-1000\Software\Microsoft\Windows\CurrentVersion\Run\Web Companion => valeur supprimé(es) avec succès
LavasoftTcpService => service supprimé(es) avec succès
SearchProtectionService => Impossible d'arrêter le service.
SearchProtectionService => service supprimé(es) avec succès
C:\WINDOWS\system32\Drivers\bsdriver.sys => déplacé(es) avec succès.
C:	ask.vbs => déplacé(es) avec succès.
C:\WINDOWS\SysWOW64\LavasoftTcpServiceOff.ini => déplacé(es) avec succès.
C:\WINDOWS\system32\LavasoftTcpServiceOff.ini => déplacé(es) avec succès.
C:\Users\JLB\AppData\Roaming\Lavasoft => déplacé(es) avec succès.
C:\Users\JLB\AppData\Local\Software => déplacé(es) avec succès.
C:\Users\JLB\AppData\Local\Lavasoft => déplacé(es) avec succès.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lavasoft => déplacé(es) avec succès.

"C:\ProgramData\Lavasoft" dossier déplacer:

Impossible de déplacer "C:\ProgramData\Lavasoft" => Planifié pour déplacement au redémarrage.

C:\Program Files (x86)\Software => déplacé(es) avec succès.

"C:\Program Files (x86)\Lavasoft" dossier déplacer:

Impossible de déplacer "C:\Program Files (x86)\Lavasoft" => Planifié pour déplacement au redémarrage.

C:\WINDOWS\system32\LavasoftTcpService64.dll => déplacé(es) avec succès.
C:\WINDOWS\SysWOW64\LavasoftTcpService.dll => déplacé(es) avec succès.

Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 2015-08-14 23:29:46)<=

C:\ProgramData\Lavasoft => a été déplacé(e) avec succès
C:\Program Files (x86)\Lavasoft => a été déplacé(e) avec succès
 Fin de Fixlog 23:29:46

Malekal_morte- · Answer

plus de Lavasoft Ad-Adware ?

Capdec · Answer

Bonjour et merci pour cette nouvelle réponse.

Je voudrais bien répondre un beau « NON » à ta question... mais comment le savoir ?

Par ailleurs je ne sais pas quoi faire face à ce « bsdriver.sys » dont tu parlais et s'il faut que je crée un « Malekal Live CD »...

Enfin, en voyant le rapport ZHPDiag, un ami informaticien m'avait dit qu'il y avait un rootkit et/ou une backdoor. Est-ce que je peux vraiment être tranquille sur ce point ? 

Bonne journée et à bientôt :)

Capdec · Answer

Donc apparemment je peux dormir tranquille^^ après ces quelques frayeurs ?

S'il vaut mieux refaire un scan dis-le moi...

Merci beaucoup et bonne continuation !

:)