Security-X
Forum Security-X => Désinfections => Discussion démarrée par: Saimon22 le octobre 27, 2015, 11:48:44
-
Bonjour,
j'ai récemment formaté mon pc et je pense avoir installé des logiciels malveillants qui me pourrissent la navigation sur internet. (Bannières publicitaires tout autour de la page web, nouvel onglet intempestif, redirection directe vers site publicitaire, etc)
En cherchant à régler le problème, j'ai vu que c'était loin d'être facile à faire et que des internautes chevronnés proposaient leur aide en matière de désinfection.
Quelqu'un serait-il disponible afin de m'aider à régler les problèmes de mon ordinateur ?
D'avance je vous remercie pour l'attention que vous porterez à ma détresse :P
Simon
-
Bonjour,
Infection par adwares/hijackers qui se sont installés avec ton consentement, en manquant de vigilance lors de l'installation d'applications sponsorisées, tu n'as pas décoché les sponsors proposés.
Nous allons commencer par établir un rapport de diagnostic pour cibler les éléments néfastes avec cet outil :
---------------------------------------------------------------------------------------------
FRST :
- Télécharge la version FRST de Farbar, compatible avec ton système et enregistre le fichier sur ton Bureau <-- Important
Pour un système en 32 bits -> FRST (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/81/)
Pour un système en 64 bits -> FRST64 (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/82/)
Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ? (http://windows.microsoft.com/fr-fr/windows7/find-out-32-or-64-bit)
Patiente le temps que ton navigateur te propose le téléchargement à enregistrer, sans cliquer nulle part, surtout pas sur les sponsors de la page.
Rappel : FRST doit être enregistré sur ton Bureau <-- Important
- Ferme toutes les applications, y compris ton navigateur
- Double-clique sur FRST.exe et clique sur Oui pour accepter le Disclaimer
/!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Sur le menu principal, clique sur Analyser et patiente le temps de l'analyse
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fimg%2Fpublic%2FFRST%2FFRST.jpg&hash=a2b5a1deb6b8fd54ffc9ea779cf354e02a8dd7b6)
- Accepte le redémarrage du système si demandé
- A la fin du scan, les rapports FRST.txt et Addition.txt sont créés. Poste ces rapports dans ta prochaine réponse.
Les rapports sont enregistrés au même emplacement que l'outil et sous C:\FRST\Logs
Sous Internet Explorer et Edge, le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même
---------------------------------------------------------------------------------------------
Sont attendus les rapports FRST.txt et Addition.txt
Tous les rapports doivent être hébergés sur ce site d'hébergement de fichiers (http://security-x.fr/up/) et tu indiques les liens obtenus dans ta réponse -> Aide à l'utilisation (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
@+
-
Merci pour la rapidité de la prise en charge
Voici les liens vers les rapports demandés:
- Addition: http://up.security-x.fr/file.php?h=Rc042e3a845b1c00ce841d64de01068f7
- FRST : http://up.security-x.fr/file.php?h=R9fe6cc55f97be8a0de09cc9501d594c1
-
Re,
j'ai récemment formaté mon pc et je pense avoir installé des logiciels malveillants
Tu as surtout téléchargé, installé et activé illégalement la suite Office.
De plus sur une Insider Preview, donc sur une version d'évaluation où Microsoft a tous les droits d'accès :AAG
Donc déjà dans un 1er temps, désinstalle :
Office Professionnel Plus 2013
KMSpico
et supprime tout crack de ton système.
Indique quand c'est fait, nous appliquerons ensuite un correctif avec FRST.
@+
-
Voilà,
Office et KMSpico on été désinstallé.
Je ne pense pas que mon ordi contenait d'autre crack
Rapports:
Addition: http://up.security-x.fr/file.php?h=R8e2963abd88620e7b405c68892711b51
FRST: http://up.security-x.fr/file.php?h=Rba3e35792353b2cf76a702769cefb085
Merci
-
Re,
OK, nous continuons.
--------------------------------------------------------------------------------------------------------------
FRST - Correctif :
- Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
- Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes
start
CreateRestorePoint:
CloseProcesses:
FF Extension: Sonic Train - C:\Users\Simon Lescal\AppData\Roaming\Mozilla\Firefox\Profiles\gz6lladn.default\Extensions\{b212d62b-d430-4c6d-bde3-a6307af5e0a1}.xpi [2015-10-22] [non signé]
2015-10-27 10:11 - 2015-10-27 10:11 - 00772016 _____ (Reimage®) C:\Users\Simon Lescal\Downloads\ReimageRepair.exe
R2 Service KMSELDI; C:\Program Files\KMSpico\Service_KMS.exe [965776 2014-10-26] (@ByELDI) [Fichier non signé]
2015-10-22 13:11 - 2015-10-22 13:11 - 00003490 _____ C:\Windows\System32\Tasks\AutoPico Daily Restart
2015-10-22 13:11 - 2015-10-22 13:11 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KMSpico
2015-10-22 13:11 - 2015-10-22 13:11 - 00000000 ____D C:\Program Files\KMSpico
2015-10-22 13:11 - 2010-12-06 03:16 - 00090112 _____ (Vestris Inc.) C:\Windows\system32\Vestris.ResourceLib.dll
2015-10-22 13:03 - 2015-10-22 13:03 - 00889416 _____ (Microsoft Corporation) C:\Users\Simon Lescal\Downloads\dotNetFx40_Full_setup.exe
2015-10-22 13:01 - 2015-10-22 13:09 - 2788425728 _____ C:\Users\Simon Lescal\Downloads\Office2013.Pro.Plus.SP1.x86.VL.Fr.11.2014.[Moebius14-Heldigard].iso
2015-10-22 13:01 - 2015-10-22 13:01 - 00026957 _____ C:\Users\Simon Lescal\Downloads\Office2013.Pro.Plus.SP1.x86.VL.Fr.11.2014.[Moebius14-Heldigard].iso.torrent
Task: {8A157BBB-1812-41C4-A6AF-650579354344} - System32\Tasks\AutoPico Daily Restart => C:\Program Files\KMSpico\AutoPico.exe [2014-10-26] (@ByELDI)
EmptyTemp:
end
- Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
- Ferme toutes les applications, y compris ton navigateur
- Double-clique sur FRST64.exe
/!\ Sous Vista, Windows 7, 8 et 10, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Sur le menu principal, clique une seule fois sur Corriger et patiente le temps de la correction
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fimg%2Fpublic%2FFRST%2FFRST.jpg&hash=a2b5a1deb6b8fd54ffc9ea779cf354e02a8dd7b6)
- Accepte le redémarrage du système si demandé
- L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.
/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\
--------------------------------------------------------------------------------------------------------------
ZHPCleaner-Scanner :
- Télécharge ZHPCleaner (http://www.nicolascoolman.fr/download/zhpcleaner-2/) de Nicolas Coolman en cliquant sur le bouton bleu "Télécharger" et enregistre-le sur le Bureau
- Ferme toutes les applications, y compris le navigateur
- Double-clique sur l'icône ZHPCleaner.exe
/!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Accepte, après l'avoir lu, l'accord de licence en cliquant sur J'accepte
- Clique sur le bouton Scanner
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fimg%2Fpublic%2Fzhpcleaner%2Fzhpcleaner-2.jpg&hash=2e7faa87a0226fe59ef633f5836f77d93e1a9d92)
- Poste le rapport obtenu ZHPCleaner.txt qui s'affiche.
Sous Internet Explorer et Edge, le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même
Tutoriel d'utilisation ZHPCleaner en images (http://forum.security-x.fr/tutoriels-317/tutoriel-zhpcleaner/)
--------------------------------------------------------------------------------------------------------------
Sont attendus les rapports
Fixlog
ZHPCleaner-Scanner
@+
-
Voici les liens vers:
fixlog : http://up.security-x.fr/file.php?h=R3e0670d4efc534e8bc175865ebcb58f7
ZHPcleaner: http://up.security-x.fr/file.php?h=Rd1ea5c91b9822725c77a2c257b37352b
Encore merci
-
Re,
OK, nous continuons.
ZHPCleaner-Nettoyer :
- Ferme toutes les applications, y compris le navigateur
- Double-clique sur l'icône ZHPCleaner.exe
/!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Clique sur le bouton Scanner et patiente le temps de l'analyse, puis clique sur le bouton Nettoyer
- L'interface de réparation s'affiche, clique sur Nettoyer. Le nettoyage se lance
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fimg%2Fpublic%2Fzhpcleaner%2Fzhpcleaner-2.jpg&hash=2e7faa87a0226fe59ef633f5836f77d93e1a9d92)
- Patiente le temps du nettoyage
- Si un redémarrage est nécessaire pour compléter le nettoyage, clique sur OK et redémarre le système
- Au redémarrage, le rapport de nettoyage ZHPCleaner.txt s'affiche. Poste le rapport obtenu.
Sous Internet Explorer et Edge, le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même
Tutoriel d'utilisation ZHPCleaner en images (http://forum.security-x.fr/tutoriels-317/tutoriel-zhpcleaner/)
--------------------------------------------------------------------------------------------------------------
Ensuite, même si tu avais déjà utilisé AdwCleaner, nous allons refaire une analyse.
AdwCleaner - Scanner :
- Télécharge AdwCleaner (http://www.bleepingcomputer.com/download/adwcleaner/dl/125/) de Xplode et enregistre le fichier sur ton Bureau
Patiente le temps que ton navigateur te propose le téléchargement à enregistrer, sans cliquer nulle part, surtout pas sur les sponsors de la page
- Ferme toutes les applications, y compris ton navigateur
- Double-clique sur l'icône AdwCleaner.exe pour lancer l'outil
/!\ Sous Vista, Windows 7, 8 et 10, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Sur le menu principal, clique sur Scanner
- Les éléments détectés s'affichent dans les différents onglets. Clique sur Rapport
- Un rapport AdwCleaner(Sx).txt s'ouvre. Poste ce rapport dans ta prochaine réponse
Le rapport se trouve sous C:\AdwCleaner\AdwCleaner(Sx).txt
Sous Internet Explorer et Edge, le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même
Si ton antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (le fichier AdwCleaner.exe est sûr)
Tutoriel d'utilisation AdwCleaner en images (http://forum.security-x.fr/tutoriels-317/%28tutoriel%29-adwcleaner/)
--------------------------------------------------------------------------------------------------------------
Sont attendus les rapports
ZHPCleaner-Nettoyer
AdwCleaner-Scanner
@+
-
Rapports:
ZHPcleaner: http://up.security-x.fr/file.php?h=Rdbb7799d6151b5c9930ecdeab4647921
ADWcleaner: http://up.security-x.fr/file.php?h=Rf09ed621a075e48320b2208c47fa56c0
Merci
-
Re,
OK pour les rapports.
Comment se comporte le système maintenant ?
@+
-
Aucune amélioration constatée... l'intervention aurait-elle du suffire ?
Capture d'écran : http://up.security-x.fr/file.php?h=R5e43e4ec22d197aa32566bcd6291925b
-
Re,
C'est sous Chrome ?
Nous allons réinitialiser Chrome. Applique cette procédure
http://www.tomsguide.fr/faq/id-2951169/reinitialiser-parametres-navigateur-chrome.html
@+
-
Oui j'utilise bien le navigateur Chrome.
J'ai tenté la réinitialisation mais ca n'a eu aucun effet, les pubs sont toujours présentes.
En revanche, en utilisant Explorer, plus de pubs... C'est déjà beaucoup, merci !
Y a t'il autre chose que je puisse faire pour chrome ?
-
Re,
Désinstalle Chrome, redémarre le PC, puis réinstalle la dernière version :
- Sauvegarde tes favoris -> https://support.google.com/chrome/answer/96816?hl=fr
- Désinstalle Chrome par le Panneau de configuration
- Télécharge et installe la dernière version officielle Chrome -> https://www.google.fr/chrome/browser/
@+