Bonjour à tous,
Félicitations pour ce forum que je parcoure chaque jour. Je franchis le pas de l'inscription car pour la première fois je suis victime d'une infection que je n'arrive pas à éradiquer.
Je suis sous Windows 8 - 64 bits. Hier pour un besoin professionnel, je cherchais un éditeur de texte Html et je suis tombé sur un site qui indiquait que Pspad était surement l'un des meilleurs.
Je l'ai donc téléchargé et ensuite exécuté. Au cours de l'installation, il est indiqué que pour garder le logiciel gratuit, il faut soutenir le programme en installant MixiDj. A ce moment là, deux propositions sont
proposées : 'Decline' et 'Accept'. Bien évidemment étant tellement soucieux de ne rien installer de potentiellement dangereux ou intrusif, j'ai choisi 'Decline'. Or si l'installation s'est bien arrêtée cela m'a quand même
installé les programmes en question ! Je tiens vraiment à mettre en garde contre le téléchargement de Pspad. Je sais bien que certains logiciels sont repackagés mais là ce n'était pas le cas, j'ai pris une version sur le site de l'éditeur donc il ne peut ne pas être au courant.
Dès lors le pc n'est plus qu'un diffuseur de publicités ! Quel que soit le navigateur je me retrouve inondé de pubs. Une vraie catastrophe. Ma première démarche a été de regarder dans les navigateurs que j'utilise (Chrome et FF essentiellement) s'il y'avait eu de nouveaux modules/extensions d'installés. Effectivement il y'en avait deux 'FrameFox' et 'VideoSaver'. Que ce soit sous chrome ou FF, j'ai pu facilement supprimer videosaver, en revanche pour FrameFox, j'ai pu le désactiver (et pas supprimer) dans FF et je ne peux rien faire dans chrome. Ma seconde démarche a été de regarder dans la liste des programmes (
http://puu.sh/2DAdO.jpg ) pour voir si je pouvais supprimer quelque-chose. Bien-sur il n'y a rien au nom de mixidj mais il y'avait bien deux nouveaux programmes: 'videosaver' et 'framefox'. J'ai pu désinstaller videosaver sans problème. En revanche quand j'essaye de désinstaller FrameFox de QwertyBox team, Windows m'ouvre une fenêtre me demandant si je souhaite autoriser ce programme à mettre à jour tous les autres programmes ! J'ai donc toujours répondu non, et ne sait pas si c'est le programme qui a pu modifier le texte mais qu'au final si je clique sur 'oui', ça le désinstalle ou bien si vraiment en répondant 'oui', il peut avoir un acccés encore plus large à mon pc alors même que je souhaite le désinstaller, un comble !
Bref, j'en suis donc aujourd'hui avec un FF qui ne propose plus de pubs mais dont le module FrameFox 1.2 qui est désactivé est toujours dans ma liste des modules complémentaires (impossible de le supprimer), un google chrome qui a toujours l'extension FrameFox 1.2 (
http://puu.sh/2DAge.jpg ) et que je ne peux désactiver (je ne peux pas cliquer sur la case) et qui continuer d'envoyer des publicités et mon pc qui a donc toujours FrameFox dans la liste des programmes.
J'ai donc suivi vos conseils et télécharger OTL que j'ai installé sur le bureau. Je l'ai exécuté clic droit en mode administrateur, je l'ai personnalisé avec le code :
'msconfig
activex
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\syswow64\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\syswow64\drivers\*.sys /lockedfiles
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
CREATERESTOREPOINT'
Et j'ai lancé l'analyse. Je n'ai pas eu deux rapports mais un seul que je vous mets en copie ici:
http://security-x.fr/up/file.php?h=R2d99a9171f9d96387c1702410c9427ecMerci d'avance pour votre aide.