Page 1 sur 3
mon PC est-il infecté? [Résolu]
Posté : mer. 28 oct. 2015 11:50
par rrnp
Bonjour tout le monde
ma config: W7_Pro_SP1 sur SSD Samsung EVO 250G
Depuis quelques temps je rencontre des problèmes bizarres évoqués dans le post
topic16972.html
compte tenu de l'analyse des incidents, grimpeur m'a conseillé d'ouvrir un post dans cette section Désinfection, pour vérifier la santé de mon pc.
Merci d'avance pour votre aide
Re: mon PC est-il infecté?
Posté : mer. 28 oct. 2015 15:52
par chantal11
Bonjour,
Pour un 1er diagnostic du système :
---------------------------------------------------------------------------------------------
FRST :
- Télécharge la version FRST de Farbar, compatible avec ton système et enregistre le fichier sur ton Bureau <-- Important
Pour un système en 32 bits -> FRST
Pour un système en 64 bits -> FRST64
Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?
Patiente le temps que ton navigateur te propose le téléchargement à enregistrer, sans cliquer nulle part, surtout pas sur les sponsors de la page.
Rappel : FRST doit être enregistré sur ton Bureau <-- Important
- Ferme toutes les applications, y compris ton navigateur
- Double-clique sur FRST.exe et clique sur Oui pour accepter le Disclaimer
/!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Sur le menu principal, clique sur Analyser et patiente le temps de l'analyse
- Accepte le redémarrage du système si demandé
- A la fin du scan, les rapports FRST.txt et Addition.txt sont créés. Poste ces rapports dans ta prochaine réponse.
Les rapports sont enregistrés au même emplacement que l'outil et sous C:\FRST\Logs
Sous Internet Explorer et Edge, le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même
---------------------------------------------------------------------------------------------
Sont attendus les rapports
FRST.txt et
Addition.txt
Tous les rapports doivent être hébergés sur ce site d'hébergement de fichiers et tu indiques les liens obtenus dans ta réponse -> Aide à l'utilisation
@+
Re: mon PC est-il infecté?
Posté : mer. 28 oct. 2015 16:47
par rrnp
Bonjour chantal11 et merci pour la prise en compte de mon problème.
J'ai lancé la réparation du démarrage à partir du DVD W7-64, mais tous les codes sont à "0x0" pour l'ensemble des tests de la procédure et la conclusion est:
(l'état indique que l'OS a bien démarré).
j'enclenche donc la procédure que tu proposes et te poste le résultat sur le site convenu en te fournissant le lien.
Merci
Re: mon PC est-il infecté?
Posté : mer. 28 oct. 2015 17:20
par rrnp
Bonsoir Chantal11
voici les liens correspondant aux fichiers attendus, sur le site recommandé:
FRST ==>
http://up.security-x.fr/file.php?h=Rd41 ... 98ecf8427e
Addition =>
http://up.security-x.fr/file.php?h=Rd41 ... 98ecf8427e
Je t'en souhaite bonne réception et te remercie pour ton aide.
Re: mon PC est-il infecté?
Posté : mer. 28 oct. 2015 17:34
par chantal11
Re,
Hélas les liens sont vides.
Il faut recommencer l'hébergement de chaque rapport et poster les nouveaux liens obtenus.
@
Re: mon PC est-il infecté?
Posté : mer. 28 oct. 2015 18:38
par rrnp
Bonsoir Chantal11
Désolé pour ce contre temps,
je reposte de suite
FRST64 =>
http://up.security-x.fr/file.php?h=Rae7 ... e0b000ceba
Addition =>
http://up.security-x.fr/file.php?h=Rd41 ... 98ecf8427e
Bonne réception en espèrant que cette fois c'est bon
Re: mon PC est-il infecté?
Posté : mer. 28 oct. 2015 19:07
par chantal11
Re,
On va y arriver
J'ai bien le rapport FRST.txt, mais le lien pour le rapport Addition.txt est vide, il faut donc recommencer pour ce rapport Addition.txt.
@+
Re: mon PC est-il infecté?
Posté : mer. 28 oct. 2015 19:11
par rrnp
Re: mon PC est-il infecté?
Posté : mer. 28 oct. 2015 19:21
par chantal11
Re,
OK, quelques éléments à nettoyer.
Il faut être plus vigilant sur ce qui est validé lors de l'installation de logiciels gratuits, bien lire les conditions d'utilisation et ne pas accepter tout ce qui est proposé avec. Il faut décocher les cases des sponsors.
Stop la pub !
Exemple sur l'
Installation d'une application sponsorisée, les pièges à éviter !
Tu appliques les procédures dans l'ordre où elles sont présentées.
/!\Les outils ne doivent être lancés qu'une seule fois afin de ne pas fausser les rapports demandés./!\
--------------------------------------------------------------------------------------------------------------
Désinstalle via
Panneau de configuration -> Désinstaller un programme (
si présents) :
Adwares/Programmes indésirables :
Browser Extensions
Si un programme ne veut pas se désinstaller, tu passes au suivant.
--------------------------------------------------------------------------------------------------------------
FRST - Correctif :
- Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
- Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes
start
CreateRestorePoint:
CloseProcesses:
GroupPolicyScripts: Restriction
CHR HKLM\SOFTWARE\Policies\Google: Restriction
Toolbar: HKLM - Pas de nom - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Pas de fichier
Toolbar: HKU\S-1-5-21-3165332262-1011401452-83471985-1000 -> Pas de nom - {CFCB809C-3A22-4616-A916-6C007BD9D920} - Pas de fichier
CHR HomePage: Default -> hxxp://Vosteran.com/?f=1&a=vst_wnzp01_14_51_ie&cd=2XzuyEtN2Y1L1QzutDtDtC0B0F0C0EzztAtBtDtAyBzy0DyBtN0D0Tzu0StCtDzztBtN1L2XzutAtFyCtFtCtDtFyBtN1L1CzutCyEtBzytDyD1V1BtN1L1G1B1V1N2Y1L1Qzu2StC0BzztC0CtByBtAtGyEtB0DtDtG0A0FyEyCtG0BtB0BtBtGtCtCtB0ByEtDyEzy0EtBzytA2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyDzzzy0B0AtAyC0BtG0B0D0CyEtGyEtCtCzztG0AtA0C0AtGyDtDtD0C0FtDyD0A0CtByC0E2Q&cr=836239765&ir=
CHR HKU\S-1-5-21-3165332262-1011401452-83471985-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bakijjialdiiboeaknfpmflphhmljfkd] - hxxps://clients2.google.com/service/update2/crx
Task: {DF28A360-74DE-4037-8201-6939BBE0B6B0} - System32\Tasks\Ad-Aware Update (Weekly) => C:\Program Files (x86)\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe
Task: C:\Windows\Tasks\Ad-Aware Update (Weekly).job => C:\Program Files (x86)\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe
C:\Program Files (x86)\Lavasoft
AlternateDataStreams: C:\ProgramData\TEMP:07BF512B
EmptyTemp:
end
- Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
- Ferme toutes les applications, y compris ton navigateur
- Double-clique sur FRST64.exe
/!\ Sous Vista, Windows 7, 8 et 10, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Sur le menu principal, clique une seule fois sur Corriger et patiente le temps de la correction
- Accepte le redémarrage du système si demandé
- L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.
/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\
--------------------------------------------------------------------------------------------------------------
ZHPCleaner-Scanner :
- Télécharge ZHPCleaner de Nicolas Coolman en cliquant sur le bouton bleu "Télécharger" et enregistre-le sur le Bureau
- Ferme toutes les applications, y compris le navigateur
- Double-clique sur l'icône ZHPCleaner.exe
/!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Accepte, après l'avoir lu, l'accord de licence en cliquant sur J'accepte
- Clique sur le bouton Scanner
- Poste le rapport obtenu ZHPCleaner.txt qui s'affiche.
Sous Internet Explorer et Edge, le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même
Tutoriel d'utilisation ZHPCleaner en images
--------------------------------------------------------------------------------------------------------------
Sont attendus les rapports
Fixlog
ZHPCleaner-Scanner
@+
Re: mon PC est-il infecté?
Posté : mer. 28 oct. 2015 19:40
par rrnp
Voici le rapport fixlog.txt
Résultats de correction de Farbar Recovery Scan Tool (x64) Version:25-10-2015 02
Exécuté par NOUS_NP (2015-10-28 18:31:27) Run:1
Exécuté depuis C:\Users\NOUS_NP\Desktop
Profils chargés: NOUS_NP (Profils disponibles: NOUS_NP & Administrateur & DefaultAppPool)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
*****************
start
CreateRestorePoint:
CloseProcesses:
GroupPolicyScripts: Restriction
CHR HKLM\SOFTWARE\Policies\Google: Restriction
Toolbar: HKLM - Pas de nom - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Pas de fichier
Toolbar: HKU\S-1-5-21-3165332262-1011401452-83471985-1000 -> Pas de nom - {CFCB809C-3A22-4616-A916-6C007BD9D920} - Pas de fichier
CHR HomePage: Default -> hxxp://Vosteran.com/?f=1&a=vst_wnzp01_1 ... 239765&ir=
CHR HKU\S-1-5-21-3165332262-1011401452-83471985-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bakijjialdiiboeaknfpmflphhmljfkd] - hxxps://clients2.google.com/service/update2/crx
Task: {DF28A360-74DE-4037-8201-6939BBE0B6B0} - System32\Tasks\Ad-Aware Update (Weekly) => C:\Program Files (x86)\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe
Task: C:\Windows\Tasks\Ad-Aware Update (Weekly).job => C:\Program Files (x86)\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe
C:\Program Files (x86)\Lavasoft
AlternateDataStreams: C:\ProgramData\TEMP:07BF512B
EmptyTemp:
end
*****************
Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
C:\Windows\system32\GroupPolicy\Machine => déplacé(es) avec succès
C:\Windows\system32\GroupPolicy\GPT.ini => déplacé(es) avec succès
"HKLM\SOFTWARE\Policies\Google" => clé supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\\{CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} => valeur supprimé(es) avec succès
HKCR\CLSID\{CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} => clé non trouvé(e).
HKU\S-1-5-21-3165332262-1011401452-83471985-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{CFCB809C-3A22-4616-A916-6C007BD9D920} => valeur supprimé(es) avec succès
HKCR\CLSID\{CFCB809C-3A22-4616-A916-6C007BD9D920} => clé non trouvé(e).
Chrome HomePage => supprimé(es) avec succès
"HKU\S-1-5-21-3165332262-1011401452-83471985-1000\SOFTWARE\Google\Chrome\Extensions\bakijjialdiiboeaknfpmflphhmljfkd" => clé supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{DF28A360-74DE-4037-8201-6939BBE0B6B0}" => clé supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{DF28A360-74DE-4037-8201-6939BBE0B6B0}" => clé supprimé(es) avec succès
C:\Windows\System32\Tasks\Ad-Aware Update (Weekly) => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Ad-Aware Update (Weekly)" => clé supprimé(es) avec succès
C:\Windows\Tasks\Ad-Aware Update (Weekly).job => déplacé(es) avec succès
C:\Program Files (x86)\Lavasoft => déplacé(es) avec succès
C:\ProgramData\TEMP => ":07BF512B" ADS supprimé(es) avec succès.
EmptyTemp: => 68.7 MB données temporaires supprimées.
Le système a dû redémarrer.
==== Fin de Fixlog 18:31:44 ====
je lance la suite