[RESOLU] Rogue.PCCleanerPro découvert suite aux lenteurs du PC

[mwonex]

Bonjour,

Des ralentissements d'affichage et malgré avoir mis à jour le pilote AMD, j'ai fini par cherché avec ZHPDiag vers.2, et trouvé cette conclusion:

---\\ Récapitulatif des détections trouvées sur votre station
http://www.nicolascoolman.fr/blog/ =>Rogue.PCCleanerPro
~ MSI: 1 link(s) detected in 00mn 00s

Apparemment seul problème trouvé et malgré l'antivirus GP2015.
Naturellement je tiens à votre disposition sur ci-joint dès que demandé le log entier.txt
Je ne préjuge pas de la méthode qui sera employée pour aider à désinfecter (pourtant je navigue "safe" et j'ai vérifié avec Adwcleaner et MBAM si il y avait des pup's ou pump's ..zéro.

j'espère que ce ne sera pas trop tard, car je dois m'absenter Dimanche 19, mais serai de retour le 27/10.
Je répondrai sans attendre à toute demande. Je me demandais si je pouvais simplement supprimer la ligne

Code : Tout sélectionner

HKEY_CURRENT_USER\Software\PCCleaners\

du registre, seule ligne indiquée dans le rapport? PeuT-être trop simpliste?
La clé "PC Cleaners" est sensée se trouver dans program files(86) alors que non! et jamais téléchargé un programme de ce genre.

Accessoirement que pensez vous d' "EmsisoftAntiMalwareSetup_10713006" pour ce type de problème (il serait payant et lourd surtout, ce dont je n'ai pas besoin)
Merci de ce que vous pourrez faire
Cordialement

[mwonex]

Bonjour,

Je me permet quand même d'envoyer le rapport ZHPDiag (sans obligation de s'en servir...
Lien ZHPDiag:
http://cjoint.com/?0JpsAaA6CZy

Ainsi que celui de RogueKiller sans avoir fait de modification.
Dans ce dernier rapport RogueKiller, ce qui m'intrigue c'est ceci:

¤¤¤ Fichier Hosts : 0 [Too big!] ¤¤¤

Je ne sais pas quoi y faire?

Les lignes de pum-raccourcis seraient selon certains sites lus, mais non consultés, inoffensives

lien rapport Rogue Killer d'hier soir:
http://cjoint.com/?0JqiAkBm6fA

Merci, désolé pour ce post en 2 temps suite à ma recherche.
Cordialement

[chantal11]

Bonjour,

Je ne sais pas pourquoi RogueKiller tilte sur le fichier Hosts, ZHPDiag le trouve tout à fait normal.

Pour la détection de HKCU\Software\PCCleaners, c'est le résidu d'un scareware, ce n'est pas actif.
Tu peux simplement supprimer cette clé.

Tu as lancé une analyse avec Malwarebytes avec ces paramètres ?

Malwarebytes Anti-Malware :

• Télécharge Malwarebytes Anti-Malware et enregistre le sur le Bureau
• Double-clique sur le fichier mbam-setup.exe pour lancer l'installation
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• A la fin de l'installation, décoche l'option "Activer l'essai gratuit de Malwarebytes Anti-Malware Premium". La case Exécuter Malwarebytes Anti-Malware reste cochée.
• Clique sur Terminer. Malwarebyte's s'ouvre
• Pour mettre en français, dans Settings, puis General Settings, dans Language, sélectionne French
• Dans Version de la base de données, clique sur le lien Mettre à jour pour installer les mises à jour et laisse l'outil les installer
• Dans Examen, coche Examen "Personnalisé" puis clique sur Examiner maintenant
• Sélectionne le(s) lecteur(s) à analyser
• Coche la case Recherche de Rootkits
• Sélectionne Traiter les détections comme des malveillants pour les détections PUP et PUM
• Puis clique sur Lancer l'examen
• Si l'outil te propose d'autres mises à jour, valide en cliquant sur Mettre à jour maintenant
• Patiente le temps de l'analyse
• Pour supprimer les éléments détectés, clique sur Tout mettre en quarantaine
• Si un redémarrage est demandé, clique sur Yes
• Au redémarrage, relance Malwarebytes
• Dans Historique, clique sur Journaux de l'application
• Sélectionne le journal d'examen le plus récent, puis clique sur Afficher
• Clique sur Exporter puis sur Fichier texte (*.txt)
• Enregistre le rapport sur ton Bureau. Poste ce rapport dans ta prochaine réponse
  Le journal d'examen est aussi enregistré sous C:\ProgramData\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Tutoriel d'utilisation Malwarebytes en images

@+

[mwonex]

Bonjour Chantal et merci

Pour la détection de HKCU\Software\PCCleaners, c'est le résidu d'un scareware, ce n'est pas actif.
Tu peux simplement supprimer cette clé.

je lance MBAM avec les paramètres exacts conseillés mode administrateur et personnalisé (je faisais menaces) pour C:
je reviens dès que c'est fini.

Édition à venir ici:

[chantal11]

Re,

OK, en attente du rapport MBAM

[mwonex]

humm, c'est interminable, et je ne me souviens plus si j'ai coché:

Coche la case Recherche de Rootkits

aussi après 3h d'examen, je suis sur le point d'annuler et de recommencer avec ce paramètre.

Déjà trouvé deux PUP.passview, un exe et un zip, mais je vois que ça correspond dans mes "download" au logiciel de Nirsoft dont je doute de la malfaisance..WebBrowserPassView Nirsoft

Désolé, mais je dois recommencer ça mouline encore au 5e item "objets du système de fichiers etc.." heuristique

Je recommence rapidement (je trouve tout ça trop lent-long)

Je reprend tout au début, désolé: rapport partiel:
http://cjoint.com/?0JqoHTf19Nz

A noter comme je l'explique dans un autre poste, le logiciel a bien tenté de redémarrer Windows, mais celui-ci est resté noir (l'écran alterne entre voyant orange et vert), voir ici:
topic16246.html

J'ai du arrêter manuellement et redémarrer idem ce qui m'inquiète pas mal..
je reviens vers toi dès que je peux ce jour même, merci de ta patience.

Je recommence l'examen pour plus de certitude, mais le PC est très lent
Rootkit n'avait pas été coché, j'ai décoché mon antivirus Panda, et Adwcleaner téléchargé chez Xplode, pour plus de vitesse..

Si ça ne fonctionne pas il me restera à utiliser ceci:
http://www.chantal11.com/2010/05/window ... -avancees/

[chantal11]

Re,

Tu n'as bien coché que la partition C pour l'examen personnalisé ?

Déjà trouvé deux PUP.passview, un exe et un zip, mais je vois que ça correspond dans mes "download" au logiciel de Nirsoft dont je doute de la malfaisance..WebBrowserPassView Nirsoft

Certainement une application où il est impératif de décocher des cases pendant l'installation.
Je te sais vigilant de ce côté-là, tu peux donc les garder si tu le désires, ou les mettre en quarantaine.

A noter comme je l'explique dans un autre poste, le logiciel a bien tenté de redémarrer Windows, mais celui-ci est resté noir (l'écran alterne entre voyant orange et vert), voir ici:
topic16246.html

Tu peux tenter une restauration système avant l'apparition de ce dysfonctionnement ?

@+

[mwonex]

Re:

Fichier ci-joint sans malveillant:
http://cjoint.com/?0JqsqjpJCme

Tu n'as bien coché que la partition C pour l'examen personnalisé ?

oui et cette fois ça a mis 3h20 avec Recherche de Rootkits, sans rien trouver.
J'ai supprimé l'application de Nirsoft (zip) inutile pour ma part.

Tu peux tenter une restauration système avant l'apparition de ce dysfonctionnement ?

Oui mais j'ai réinstallé le pilote AMD depuis (que je pensais devoir mettre à jour pour dysfonctionnements-ralentissements explorer) , sinon je peux revenir juste après les mises à jour du "tuesday patch".
Noter que AMD m'a installé MS Visual C++2012 enfin il me semble.

Je fais ça, j'essaie un redémarrage et je restaure en mode sans échec.
Merci en tous cas pour cette expertise toujours très utile.
J'espère garder un système au moins fonctionnel, j'en ai besoin évidemment.
Cordialement

[mwonex]

Finalement, j'ai préféré commencer par une réparation du boot avec une image disque de 2011.

Le disque a tout de suite trouvé une réparation de démarrage à exécuter sans avoir à parcourir de nombreuses fenêtres.

Ça ne veut pas dire que je ne devrai pas restaurer, car il y a encore des signaux sonores de type "string de guitare", de moins bon aloi que ceux de nos rockers.
De là à identifier ces signaux...! enfin merci des conseils qui soutiennent ma réflexion personnelle et les pistes à suivre.

La difficulté est surtout d'identifier les causes..après y a plus qu'à mettre à niveau.......avec l'iso pffff
Résolu donc puisque pas d'infection et que le démarrage fonctionne. Plus ce serait de la gourmandise

Cordialement

[chantal11]

Bonjour,

Le système est propre, c'est déjà une bonne chose.

Je pense que le mieux serait la restauration système avant que ce point disparaisse.

Tu peux désinstaller les outils utilisés et supprimer les rapports.

Bonne continuation