mon PC est-il infecté? [Résolu]

Votre ordinateur est infecté? vous avez un doute ? c'est ici

mon PC est-il infecté? [Résolu]

Messagepar rrnp » Mer 28 Oct 2015 11:50

Bonjour tout le monde ;)

ma config: W7_Pro_SP1 sur SSD Samsung EVO 250G
Depuis quelques temps je rencontre des problèmes bizarres évoqués dans le post http://www.forum-seven.com/forum/topic16972.html

compte tenu de l'analyse des incidents, grimpeur m'a conseillé d'ouvrir un post dans cette section Désinfection, pour vérifier la santé de mon pc.

Merci d'avance pour votre aide :super:
Dernière édition par rrnp le Jeu 29 Oct 2015 17:20, édité 2 fois.
Keep Cool
Tout le monde trouve son maître...sois modeste c'est le genre d'orgueil qui deplaît le moins
rrnp
 
Messages: 51
Inscription: Dim 30 Déc 2012 13:18
Localisation: IDF mais Vendéen de coeur

Re: mon PC est-il infecté?

Messagepar chantal11 » Mer 28 Oct 2015 15:52

Bonjour,

Pour un 1er diagnostic du système :

---------------------------------------------------------------------------------------------

FRST :

  • Télécharge la version FRST de Farbar, compatible avec ton système et enregistre le fichier sur ton Bureau <-- Important

    Pour un système en 32 bits -> FRST
    Pour un système en 64 bits -> FRST64
    Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?

    Patiente le temps que ton navigateur te propose le téléchargement à enregistrer, sans cliquer nulle part, surtout pas sur les sponsors de la page.
    Rappel : FRST doit être enregistré sur ton Bureau <-- Important
  • Ferme toutes les applications, y compris ton navigateur
  • Double-clique sur FRST.exe et clique sur Oui pour accepter le Disclaimer
    /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Sur le menu principal, clique sur Analyser et patiente le temps de l'analyse
    Image
  • Accepte le redémarrage du système si demandé
  • A la fin du scan, les rapports FRST.txt et Addition.txt sont créés. Poste ces rapports dans ta prochaine réponse.
    Les rapports sont enregistrés au même emplacement que l'outil et sous C:\FRST\Logs

Sous Internet Explorer et Edge, le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même

---------------------------------------------------------------------------------------------

Sont attendus les rapports FRST.txt et Addition.txt

Tous les rapports doivent être hébergés sur ce site d'hébergement de fichiers et tu indiques les liens obtenus dans ta réponse -> Aide à l'utilisation

@+
Image Image
Image
En cas de problème constaté sur un sujet, alertez un modérateur. N'intervenez pas vous-même. Merci
Avatar de l’utilisateur
chantal11
 
Messages: 13386
Inscription: Dim 11 Jan 2009 15:14
Localisation: Aude

Re: mon PC est-il infecté?

Messagepar rrnp » Mer 28 Oct 2015 16:47

Bonjour chantal11 et merci pour la prise en compte de mon problème. :)

J'ai lancé la réparation du démarrage à partir du DVD W7-64, mais tous les codes sont à "0x0" pour l'ensemble des tests de la procédure et la conclusion est:
(l'état indique que l'OS a bien démarré).
j'enclenche donc la procédure que tu proposes et te poste le résultat sur le site convenu en te fournissant le lien.
Merci :super:
Keep Cool
Tout le monde trouve son maître...sois modeste c'est le genre d'orgueil qui deplaît le moins
rrnp
 
Messages: 51
Inscription: Dim 30 Déc 2012 13:18
Localisation: IDF mais Vendéen de coeur

Re: mon PC est-il infecté?

Messagepar rrnp » Mer 28 Oct 2015 17:20

Bonsoir Chantal11
voici les liens correspondant aux fichiers attendus, sur le site recommandé:

FRST ==> http://up.security-x.fr/file.php?h=Rd41d8cd98f00b204e9800998ecf8427e
Addition => http://up.security-x.fr/file.php?h=Rd41d8cd98f00b204e9800998ecf8427e

Je t'en souhaite bonne réception et te remercie pour ton aide. :D
Keep Cool
Tout le monde trouve son maître...sois modeste c'est le genre d'orgueil qui deplaît le moins
rrnp
 
Messages: 51
Inscription: Dim 30 Déc 2012 13:18
Localisation: IDF mais Vendéen de coeur

Re: mon PC est-il infecté?

Messagepar chantal11 » Mer 28 Oct 2015 17:34

Re,

Hélas les liens sont vides.

Il faut recommencer l'hébergement de chaque rapport et poster les nouveaux liens obtenus.

@
Image Image
Image
En cas de problème constaté sur un sujet, alertez un modérateur. N'intervenez pas vous-même. Merci
Avatar de l’utilisateur
chantal11
 
Messages: 13386
Inscription: Dim 11 Jan 2009 15:14
Localisation: Aude

Re: mon PC est-il infecté?

Messagepar rrnp » Mer 28 Oct 2015 18:38

Bonsoir Chantal11
Désolé pour ce contre temps,
je reposte de suite

FRST64 => http://up.security-x.fr/file.php?h=Rae7d268265b0f5a173cd6ae0b000ceba
Addition => http://up.security-x.fr/file.php?h=Rd41d8cd98f00b204e9800998ecf8427e

Bonne réception en espèrant que cette fois c'est bon :super:
Keep Cool
Tout le monde trouve son maître...sois modeste c'est le genre d'orgueil qui deplaît le moins
rrnp
 
Messages: 51
Inscription: Dim 30 Déc 2012 13:18
Localisation: IDF mais Vendéen de coeur

Re: mon PC est-il infecté?

Messagepar chantal11 » Mer 28 Oct 2015 19:07

Re,

On va y arriver :bubulle:

J'ai bien le rapport FRST.txt, mais le lien pour le rapport Addition.txt est vide, il faut donc recommencer pour ce rapport Addition.txt.

@+
Image Image
Image
En cas de problème constaté sur un sujet, alertez un modérateur. N'intervenez pas vous-même. Merci
Avatar de l’utilisateur
chantal11
 
Messages: 13386
Inscription: Dim 11 Jan 2009 15:14
Localisation: Aude

Re: mon PC est-il infecté?

Messagepar rrnp » Mer 28 Oct 2015 19:11

Dernière édition par rrnp le Mer 28 Oct 2015 19:21, édité 1 fois.
Keep Cool
Tout le monde trouve son maître...sois modeste c'est le genre d'orgueil qui deplaît le moins
rrnp
 
Messages: 51
Inscription: Dim 30 Déc 2012 13:18
Localisation: IDF mais Vendéen de coeur

Re: mon PC est-il infecté?

Messagepar chantal11 » Mer 28 Oct 2015 19:21

Re,

OK, quelques éléments à nettoyer.

Il faut être plus vigilant sur ce qui est validé lors de l'installation de logiciels gratuits, bien lire les conditions d'utilisation et ne pas accepter tout ce qui est proposé avec. Il faut décocher les cases des sponsors.
Stop la pub !
Exemple sur l'Installation d'une application sponsorisée, les pièges à éviter !

Tu appliques les procédures dans l'ordre où elles sont présentées.

/!\Les outils ne doivent être lancés qu'une seule fois afin de ne pas fausser les rapports demandés./!\

--------------------------------------------------------------------------------------------------------------

Désinstalle via Panneau de configuration -> Désinstaller un programme (si présents) :

Adwares/Programmes indésirables :
Browser Extensions

Si un programme ne veut pas se désinstaller, tu passes au suivant.

--------------------------------------------------------------------------------------------------------------

FRST - Correctif :

  • Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
  • Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes

    start
    CreateRestorePoint:
    CloseProcesses:
    GroupPolicyScripts: Restriction
    CHR HKLM\SOFTWARE\Policies\Google: Restriction
    Toolbar: HKLM - Pas de nom - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Pas de fichier
    Toolbar: HKU\S-1-5-21-3165332262-1011401452-83471985-1000 -> Pas de nom - {CFCB809C-3A22-4616-A916-6C007BD9D920} - Pas de fichier
    CHR HomePage: Default -> hxxp://Vosteran.com/?f=1&a=vst_wnzp01_1 ... 239765&ir=
    CHR HKU\S-1-5-21-3165332262-1011401452-83471985-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bakijjialdiiboeaknfpmflphhmljfkd] - hxxps://clients2.google.com/service/update2/crx
    Task: {DF28A360-74DE-4037-8201-6939BBE0B6B0} - System32\Tasks\Ad-Aware Update (Weekly) => C:\Program Files (x86)\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe
    Task: C:\Windows\Tasks\Ad-Aware Update (Weekly).job => C:\Program Files (x86)\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe
    C:\Program Files (x86)\Lavasoft
    AlternateDataStreams: C:\ProgramData\TEMP:07BF512B
    EmptyTemp:
    end

  • Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
  • Ferme toutes les applications, y compris ton navigateur
  • Double-clique sur FRST64.exe
    /!\ Sous Vista, Windows 7, 8 et 10, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Sur le menu principal, clique une seule fois sur Corriger et patiente le temps de la correction
    Image
  • Accepte le redémarrage du système si demandé
  • L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\

--------------------------------------------------------------------------------------------------------------

ZHPCleaner-Scanner :

  • Télécharge ZHPCleaner de Nicolas Coolman en cliquant sur le bouton bleu "Télécharger" et enregistre-le sur le Bureau
  • Ferme toutes les applications, y compris le navigateur
  • Double-clique sur l'icône ZHPCleaner.exe
    /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Accepte, après l'avoir lu, l'accord de licence en cliquant sur J'accepte
  • Clique sur le bouton Scanner
    Image
  • Poste le rapport obtenu ZHPCleaner.txt qui s'affiche.

    Sous Internet Explorer et Edge, le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même

    Tutoriel d'utilisation ZHPCleaner en images

--------------------------------------------------------------------------------------------------------------

Sont attendus les rapports
Fixlog
ZHPCleaner-Scanner


@+
Image Image
Image
En cas de problème constaté sur un sujet, alertez un modérateur. N'intervenez pas vous-même. Merci
Avatar de l’utilisateur
chantal11
 
Messages: 13386
Inscription: Dim 11 Jan 2009 15:14
Localisation: Aude

Re: mon PC est-il infecté?

Messagepar rrnp » Mer 28 Oct 2015 19:40

Voici le rapport fixlog.txt

Résultats de correction de Farbar Recovery Scan Tool (x64) Version:25-10-2015 02
Exécuté par NOUS_NP (2015-10-28 18:31:27) Run:1
Exécuté depuis C:\Users\NOUS_NP\Desktop
Profils chargés: NOUS_NP (Profils disponibles: NOUS_NP & Administrateur & DefaultAppPool)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
start
CreateRestorePoint:
CloseProcesses:
GroupPolicyScripts: Restriction
CHR HKLM\SOFTWARE\Policies\Google: Restriction
Toolbar: HKLM - Pas de nom - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Pas de fichier
Toolbar: HKU\S-1-5-21-3165332262-1011401452-83471985-1000 -> Pas de nom - {CFCB809C-3A22-4616-A916-6C007BD9D920} - Pas de fichier
CHR HomePage: Default -> hxxp://Vosteran.com/?f=1&a=vst_wnzp01_1 ... 239765&ir=
CHR HKU\S-1-5-21-3165332262-1011401452-83471985-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bakijjialdiiboeaknfpmflphhmljfkd] - hxxps://clients2.google.com/service/update2/crx
Task: {DF28A360-74DE-4037-8201-6939BBE0B6B0} - System32\Tasks\Ad-Aware Update (Weekly) => C:\Program Files (x86)\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe
Task: C:\Windows\Tasks\Ad-Aware Update (Weekly).job => C:\Program Files (x86)\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe
C:\Program Files (x86)\Lavasoft
AlternateDataStreams: C:\ProgramData\TEMP:07BF512B
EmptyTemp:
end
*****************

Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
C:\Windows\system32\GroupPolicy\Machine => déplacé(es) avec succès
C:\Windows\system32\GroupPolicy\GPT.ini => déplacé(es) avec succès
"HKLM\SOFTWARE\Policies\Google" => clé supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\\{CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} => valeur supprimé(es) avec succès
HKCR\CLSID\{CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} => clé non trouvé(e).
HKU\S-1-5-21-3165332262-1011401452-83471985-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{CFCB809C-3A22-4616-A916-6C007BD9D920} => valeur supprimé(es) avec succès
HKCR\CLSID\{CFCB809C-3A22-4616-A916-6C007BD9D920} => clé non trouvé(e).
Chrome HomePage => supprimé(es) avec succès
"HKU\S-1-5-21-3165332262-1011401452-83471985-1000\SOFTWARE\Google\Chrome\Extensions\bakijjialdiiboeaknfpmflphhmljfkd" => clé supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{DF28A360-74DE-4037-8201-6939BBE0B6B0}" => clé supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{DF28A360-74DE-4037-8201-6939BBE0B6B0}" => clé supprimé(es) avec succès
C:\Windows\System32\Tasks\Ad-Aware Update (Weekly) => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Ad-Aware Update (Weekly)" => clé supprimé(es) avec succès
C:\Windows\Tasks\Ad-Aware Update (Weekly).job => déplacé(es) avec succès
C:\Program Files (x86)\Lavasoft => déplacé(es) avec succès
C:\ProgramData\TEMP => ":07BF512B" ADS supprimé(es) avec succès.
EmptyTemp: => 68.7 MB données temporaires supprimées.


Le système a dû redémarrer.

==== Fin de Fixlog 18:31:44 ====

je lance la suite
Keep Cool
Tout le monde trouve son maître...sois modeste c'est le genre d'orgueil qui deplaît le moins
rrnp
 
Messages: 51
Inscription: Dim 30 Déc 2012 13:18
Localisation: IDF mais Vendéen de coeur

Suivante

Retourner vers Désinfection

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités

Livre photo