Security-X

Forum Security-X => Désinfections => Discussion démarrée par: Bugbugbug le octobre 10, 2012, 20:38:06

Titre: PC en danger!
Posté par: Bugbugbug le octobre 10, 2012, 20:38:06
Bonjour,

En fait j'ai deux problèmes je crois, liés à deux tentatives de téléchargement :

1/ J'ai voulu télécharger (grand bien me fasse) le jeu "Monopoly" il y a quelque temps lorsque bim, tout a déconné et des publicités ont commencé à envahir mon écran. Il ne s'agit pas de 1000 pubs qui apparaissent d'un coup, mais une de temps en temps, que je sois sur une page Internet ou non.

2/ J'ai voulu télécharger Quicktime (que j'avais supprimé il y a quelque temps...) sauf que là j'ai du exécuter un programme qui d'un coup m'a demandé de mettre une Toolbar Babylon, enfin j'ai pas très bien compris.
D'ailleurs je me rends compte que maintenant quand j'ouvre Internet la page d'accueil est justement "Babylon" !!! Oulalalalah!

Je voulais tout annulé le téléchargement, sauf que l'onglet "Quicktime" restait sur l'écran! J'ai donc redémarré en mode sans échec avec réseau et j'ai pu supprimer cette fois-ci Quicktime. (Sauf que la barre de recherche sur Internet est quand même Babylon!)

Je fais actuellement une recherche antivirus ...

Je crois que là mon ordinateur a besoin d'aide et clairement je ne peux pas l'aider! Si vous pouvez m'aider à le réparer, ça serait vraiment trop trop cool!

Merci d'avance!
Titre: Re : PC en danger!
Posté par: hyunkel30 le octobre 10, 2012, 22:21:07
 :AAC Bonsoir Bugbugbug,

On réfléchit avant de cliquer, c'est mieux ;)

Tu as installé "volontairement" des sponsors publicitaire, encore appelés adwares, car tu n'as pas fait attention lors de l’installation de logiciels.

Regardons cela :

Télécharge OTL (http://oldtimer.geekstogo.com/OTL.exe) (de Old Timer) sur ton bureau.


Code: [Sélectionner]
netsvcs
msconfig
activex
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\syswow64\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\syswow64\drivers\*.sys /lockedfiles
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
CREATERESTOREPOINT

Une aide à l'utilisation ici (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)

Note : Les rapports sont aussi enregistrés sur le bureau
Titre: Re : PC en danger!
Posté par: Bugbugbug le octobre 11, 2012, 17:21:45
-
Titre: Re : PC en danger!
Posté par: hyunkel30 le octobre 11, 2012, 18:41:33
Re,

Rien de bien méchant ;)

1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :

Note : Si tu rencontres une erreur passe au suivant et poursuis la procédure

- Java(TM) 6 Update 7(version obsolète, tu possèdes une plus récente)

- Software Update Helper (lié à un adware)
- Yontoo 1.10.02 (adware)
- pdfforge Toolbar v1.0 (barre d'outil sponsorisée par un adware)
- Boxore Client (adware)
- Favorit (idem)
- TUTO4PC_FR_4-v1.0 (idem)


2) Télécharge AdwCleaner (http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner) (de Xplode) sur ton Bureau.

/!\ Désactive tes protections résidentes : antivirus, antispyware ... Ferme toutes les applications en cours (notamment ton navigateur)/!\



3) Relance  OTL.exe

(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

/!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\


Code: [Sélectionner]

:OTL
PRC - [2009/03/30 17:25:58 | 000,970,240 | ---- | M] (Spigot, Inc.) -- C:\Program Files\pdfforge Toolbar\SearchSettings.exe
SRV - [2012/10/10 16:14:17 | 000,139,576 | ---- | M] (Boxore OU.) [Auto | Stopped] -- C:\Program Files\Software\Update\SoftwareUpdate.exe -- (supdate)
IE - HKCU\..\URLSearchHook: {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\pdfforge Toolbar\SearchSettings.dll (Spigot, Inc.)
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=113357&tt=031012_IKAN_4112_6&babsrc=SP_ss&mntrId=9c1a3ee1000000000000002243a36d1c
FF - HKLM\Software\MozillaPlugins\@www.dlmanager.net/omaha/tools//Software Update;version=8: C:\Program Files\Software\Update\1.2.201.0\npSoftwareOneClick8.dll (Boxore OU.)
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\webbooster@iminent.com: C:\Program Files\Iminent\webbooster@iminent.com
[2009/05/22 12:02:02 | 000,000,000 | ---D | M] (pdfforge Toolbar Plugin) -- C:\Program Files\mozilla firefox\extensions\{B922D405-6D13-4A2B-AE89-08A030DA4402}
[2009/05/22 12:02:03 | 000,000,000 | ---D | M] (Search Settings Plugin) -- C:\Program Files\mozilla firefox\extensions\search@searchsettings.com
O2 - BHO: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\WidgiToolbarIE.dll (GreenTree Applications, Inc.)
O2 - BHO: (IeMonitorBho Class) - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Users\Axel\Desktop\MegaIEMn.dll File not found
O2 - BHO: (Reg Error: Value error.) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\pdfforge Toolbar\SearchSettings.dll (Spigot, Inc.)
O3 - HKLM\..\Toolbar: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\WidgiToolbarIE.dll (GreenTree Applications, Inc.)
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O4 - HKLM..\Run: [SearchSettings] C:\Program Files\pdfforge Toolbar\SearchSettings.exe (Spigot, Inc.)
O4 - HKLM..\Run: [Tutorials]  File not found
O4 - HKCU..\Run: [GameXN GO] "C:\ProgramData\GameXN\GameXNGO.exe" /startup File not found
O4 - HKLM..\RunOnce: [upt4pcfr4.exe] C:\Users\Axel\AppData\Local\tuto4pc_fr_4\upt4pcfr4.exe -runonce File not found
[2012/10/10 20:51:03 | 000,000,000 | ---D | C] -- C:\Users\Axel\AppData\Roaming\Babylon
[2012/10/10 20:51:03 | 000,000,000 | ---D | C] -- C:\ProgramData\Babylon
[2012/10/10 16:09:08 | 000,000,000 | ---D | C] -- C:\Users\Axel\AppData\Local\Software
[2012/10/10 16:09:08 | 000,000,000 | ---D | C] -- C:\Program Files\Software
[2012/10/08 14:47:04 | 000,000,000 | ---D | C] -- C:\Program Files\Yontoo
[2012/10/08 14:47:00 | 000,000,000 | ---D | C] -- C:\ProgramData\Tarma Installer
[2012/10/11 16:28:48 | 000,001,066 | ---- | M] () -- C:\Windows\tasks\SoftwareUpdateTaskMachineCore.job
[2012/10/10 20:20:21 | 000,001,070 | ---- | M] () -- C:\Windows\tasks\SoftwareUpdateTaskMachineUA.job
[2012/06/11 10:48:37 | 000,000,052 | ---- | C] () -- C:\ProgramData\loipkrdsctpvmqt
[2010/04/27 20:01:30 | 000,003,734 | ---- | C] () -- C:\Users\Axel\AppData\Local\dulbr_navps.dat
[2010/04/27 20:01:29 | 000,332,446 | ---- | C] () -- C:\Users\Axel\AppData\Local\dulbr_nav.dat
[2010/04/27 20:01:29 | 000,003,400 | ---- | C] () -- C:\Users\Axel\AppData\Local\dulbr.dat
[2010/01/07 23:28:56 | 000,000,087 | ---- | C] () -- C:\Users\Axel\AppData\Local\bvcgjfsn.bat

:Files
C:\Program Files\pdfforge Toolbar
C:\Program Files\Software

:Commands
[emptytemp]



Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
Titre: Re : PC en danger!
Posté par: Bugbugbug le octobre 11, 2012, 19:17:28
-
Titre: Re : PC en danger!
Posté par: hyunkel30 le octobre 11, 2012, 19:29:30
Re,

Tout s'est très bien déroulé, tu n'as plus qu'à me confirmer (ou non) la disparition des symptômes initiaux

On passera alors au nettoyage des outils et à la conclusion.
Titre: Re : PC en danger!
Posté par: Bugbugbug le octobre 13, 2012, 13:07:05
OUPS j'ai été optimiste trop vite!

La page "Babylon" sur Internet est réapparue!! Pourtant dans mes programmes il n'existe plus ... Là je ne comprends pas très bien!

Que dois-je faire?

Mince je croyais m'en être débarrassé!
Titre: Re : PC en danger!
Posté par: hyunkel30 le octobre 13, 2012, 18:27:20
Re,

Sous quel navigateur est-il réapparu ?
à quel endroit du navigateur ? nouvel onglet, moteur de recherche, etc ...
Titre: Re : PC en danger!
Posté par: Bugbugbug le octobre 13, 2012, 19:19:38
Bonjour,

Il est réapparu sous "GoogleChrome" et il apparaît à chaque que je tape dans la barre de recherche un mot clé pour un site sans taper l'adresse.

Par exemple :

1. J'ouvre un nouvel onglet (jusque là tout va bien);
2. Je tape le mot "gmail" au lieu de l'adresse entière "gmail.com";
3. Et là je tombe sur le navigateur de recherche Babylon !!

Est-ce compréhensible?
Titre: Re : PC en danger!
Posté par: hyunkel30 le octobre 13, 2012, 20:15:17
Re,

Oui c'est compréhensible. ;)

Supprime comme l'indique ce tutoriel tous moteur de recherche en rapport avec babylon : (et remet Google par défaut)
http://support.google.com/chrome/bin/answer.py?hl=fr&answer=95653
Titre: Re : PC en danger!
Posté par: Bugbugbug le octobre 14, 2012, 01:28:45
Merci beaucoup pour l'aide!

J'ai supprimé tous les moteurs de recherche sauf Google donc maintenant je devrais être au top!

Il me reste, je crois, à nettoyer les outils comme indiqué précédemment afin de terminer la procédure, si je ne me trompe pas?

Bonne soirée et au plaisir de lire la suite des conseils.
Titre: Re : PC en danger!
Posté par: hyunkel30 le octobre 14, 2012, 14:46:14
Re,

Oui, on y va :

1) Désinstalle AdwCleaner :

Titre: Re : PC en danger!
Posté par: Bugbugbug le octobre 17, 2012, 14:10:25
Re,

Alors j'ai bien suivi les 2 premières étapes.

Pour la 3ème : je me suis servi également du programme (qui n'apparaît nulle part d'ailleurs, donc je ne sais pas comment le supprimer!).

Il me reste, j'ai l'impression, 2 petites questions à régler:

- je ne parviens pas à supprimer certains programmes sur mon ordinateur. Je veux parler des trois suivants :
    * Adobe Reader 8 (qui semble-t-il n'a aucun éditeur!);
    * Mozilla Firefox 4.0.1. (x86 fr);
    * Le dernier programme est le Lecteur canalplay, mais ça encore c'est secondaire ...

- surtout, je me suis rendu compte qu'une mise à jour "importante" de Windows ne s'est toujours pas installée depuis 2011 et je n'arrive pas à le faire manuellement non plus. Elle concerne la sécurité du système apparemment ... Peut-on faire quelque chose?!

Merci encore, je sais que je deviens sans doute un peu "lourd" avec tous ces problèmes!

(Mais j'ai lu tout les différents aspects du dernier message et j'ai procédé à l'installation des logiciels devant permettre une plus grande sécurité!)
Titre: Re : PC en danger!
Posté par: hyunkel30 le octobre 17, 2012, 19:08:29
Re,

Concernant SXCU, peut-être ne l'as-tu pas enregistré sur ton bureau, comme demandé, mais tu l'as exécuté directement non ?


Pour les programmes, qu'est-ce que tu reçois comme erreur quand tu tentes de les supprimer ?

On verra pour la mise à jour ensuite.
Titre: Re : PC en danger!
Posté par: Bugbugbug le octobre 23, 2012, 13:21:12
Bonjour,

Désolé pour l'absence prolongée!

- Pour le programme Mozilla Firefox 4.0.1. (x86 fr): Il ne passe absolument rien!

- Pour le lecteur CanalPlay : une fenêtre s'ouvre dans laquelle il est inscrit : "Setup.exe a cessé de fonctionner";

- Enfin pour le Adobe Reader 8 : il est écrit "Erreur 20"

Voilà je ne sais pas si c'est normal et si cela risque de poser un problème dans le futur! Merci d'avance pour les conseils et recommandations!
Titre: Re : PC en danger!
Posté par: hyunkel30 le octobre 23, 2012, 14:01:36
Bonjour,

Tu l'utilises Firefox encore ou non ?


Adobe reader 8, il est fonctionnel encore ou pas ? (tu peux l'ouvrir, l'utiliser, etc ?)

(pour canalplay on s'en occupera ensuite, en passant manuellement à la suppression, si on doit le faire avec les autres programme ...)
Titre: Re : PC en danger!
Posté par: Bugbugbug le octobre 23, 2012, 15:36:26
Je n'utilise plus Mozilla depuis les bugs que j'ai rencontré. Je suis désormais sur Google Chrome.
Or je croyais avoir désinstallé Mozilla mais apparemment ce n'est pas le cas.

Pour Adobe Reader : je m'étais servi de SX Check&Update pour effectuer les mises à jour et j'utilise désormais Adobe Reader X. Pour autant je n'arrive toujours pas à désinstaller Adobe Reader 8!

Titre: Re : PC en danger!
Posté par: hyunkel30 le octobre 23, 2012, 17:38:31
Re,

On va regarder si Reader 8 est réellement encore installé ou si c'est juste une entrée vide dans la liste des programmes qu'on supprimera. Je supprimerais manuellement Firefox ensuite, avec Canalplay ;)

Fais cette analyse, et dis-moi s'il détecte adobe reader 8 ou non :
http://secunia.com/vulnerability_scanning/online/

(start scanner à droite, le résultat s'affiche au fur et à mesure en bas de la page)
Titre: Re : PC en danger!
Posté par: Bugbugbug le octobre 29, 2012, 16:50:58
-
Titre: Re : PC en danger!
Posté par: hyunkel30 le octobre 29, 2012, 18:30:26
Re,

Nop, en fait ça m'arrange, pas de trace d'adobe reader 8  ;D

Après y'a le souci des mises à jour Windows qu'on va aborder.

C'est cette mise à jour qui ne veux pas s'installer ?
KB2536275

Si oui essaye de la télécharger et l'installer par ce lien :
http://www.microsoft.com/fr-fr/download/details.aspx?id=26335

Sinon, donne-moi le numéro de la mise à jour en cause (KBxxxxxxxxxx)

 :AAN
Titre: Re : PC en danger!
Posté par: Bugbugbug le octobre 29, 2012, 19:57:30
Super!

J'ai installé la mise à jour et ça semble fonctionner donc c'est une bonne nouvelle!

Que dois-je faire du diagnostic qui porte sur les autres éléments? J'avoue que j'ai l'impression qu'il y a des problèmes sur chaque programme!!
Titre: Re : PC en danger!
Posté par: hyunkel30 le octobre 29, 2012, 21:26:06
Re,

On va s'occuper des autres justement, je voulais finir avec Windows update d'abord.

En premier, tu dois mettre à jour Chrome, il semble ne pas l'avoir fait automatiquement :
http://support.google.com/chrome/bin/answer.py?hl=fr&answer=95414

Ensuite, on va mettre à jour le reste :


Télécharge SX Check&Update (http://tools.security-x.fr/download.php?f=SXCU.exe) (de Igor51 ) sur ton bureau.

Titre: Re : PC en danger!
Posté par: Bugbugbug le octobre 30, 2012, 00:41:04
-
Titre: Re : PC en danger!
Posté par: hyunkel30 le octobre 30, 2012, 10:34:18
Re,

Avec SXCU, tu as bien cliqué sur "Update Flash"

Tu as bien suivi ensuite les instruction qui s'ouvre dans le navigateur ?


Ensuite, as-tu bien mis à jour Chrome ? il semble que non, tu as toujours une version différente de la dernière stable.
Titre: Re : PC en danger!
Posté par: Bugbugbug le octobre 30, 2012, 12:21:52
Dans ma rubrique "A propos de googlecrhome" il est écrit que ma version est à jour donc je ne sais pas quoi faire!

Sinon j'ai refait un scan avec secunia et il semble qu'il n'y a plus aucun problème avec mes programmes Adobe etc.!

Il me reste juste le LecteurCanalplay et Mozilla (et Adobe Reader 8?) à désinstaller!

Merci!
Titre: Re : PC en danger!
Posté par: hyunkel30 le octobre 30, 2012, 15:55:04
Re,

Quelle est la version du navigateur dans le fenêtre "A propos de Google Chrome" ?


On va relancé l'outil OTL pour les derniers nettoyages alors :


Télécharge OTL (http://oldtimer.geekstogo.com/OTL.exe) (de Old Timer) sur ton bureau.


Code: [Sélectionner]
msconfig
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\syswow64\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\syswow64\drivers\*.sys /lockedfiles
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
CREATERESTOREPOINT

Une aide à l'utilisation ici (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)

Note : Les rapports sont aussi enregistrés sur le bureau
Titre: Re : PC en danger!
Posté par: Bugbugbug le octobre 30, 2012, 16:27:12
-
Titre: Re : PC en danger!
Posté par: hyunkel30 le octobre 30, 2012, 16:54:23
Re,

Et pour Chrome ? (voir ma question précédente)

à faire ensuite :

1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :

Note : Si tu rencontres une erreur passe au suivant et poursuis la procédure



  Relance  OTL.exe

(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

/!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\


Code: [Sélectionner]

:OTL
SRV - [2012/03/06 15:01:18 | 000,932,240 | ---- | M] (Canal+ Distribution) [On_Demand | Stopped] -- C:\Program Files\Lecteur CANALPLAY\CanalPlayService.exe -- (Service CANALPLAY)
CHR - plugin: CanalPlus Utilitaires CanalPlay (Enabled) = C:\Program Files\Lecteur CANALPLAY\npcplay.dll
O15 - HKLM\..Trusted Domains: canalplay.com ([]* in Trusted sites)
O15 - HKLM\..Trusted Domains: canalplusactive.com ([]* in Trusted sites)
O15 - HKU\S-1-5-21-3924427912-2266551140-920310711-1000\..Trusted Domains: canalplay.com ([]* in Trusted sites)
O15 - HKU\S-1-5-21-3924427912-2266551140-920310711-1000\..Trusted Domains: canalplusactive.com ([]* in Trusted sites)
O33 - MountPoints2\{7dec1869-3c10-11df-b32f-002243a36d1c}\Shell\AutoRun\command - "" = PICHEK///mrakacha.exe
O33 - MountPoints2\{7dec1869-3c10-11df-b32f-002243a36d1c}\Shell\open\command - "" = PICHEK///mrakacha.exe
O33 - MountPoints2\{b0565e48-eb3d-11de-96c2-002243a36d1c}\Shell\AutoRun\command - "" = E:\SLATKO/torta.exe
O33 - MountPoints2\{b0565e48-eb3d-11de-96c2-002243a36d1c}\Shell\explore\command - "" = E:\SLATKO/torta.exe
O33 - MountPoints2\{b0565e48-eb3d-11de-96c2-002243a36d1c}\Shell\open\command - "" = E:\SLATKO/torta.exe
O33 - MountPoints2\{d883c4c1-08f3-11e0-8171-002243a36d1c}\Shell\AutoRun\command - "" = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL E:\autorun.exe
[183 C:\Users\Axel\Desktop\*.tmp files -> C:\Users\Axel\Desktop\*.tmp -> ]
[2012/10/10 12:51:06 | 000,000,000 | ---D | M] -- C:\Users\Axel\AppData\Roaming\Mozilla



:Reg
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{2CC8B9A6-AADE-42C1-8FE5-446CC91C40EA}"=-
"{9514EF5A-1910-4A5F-BF39-829F2CA0B7CD}"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9E37358-E3E1-47BA-9E21-375EF3616BC9}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AdobeReader]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\hpzku]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Mozilla Firefox 4.0.1 (x86 fr)]
[-HKEY_LOCAL_MACHINE\software\mozilla]
[-HKLM\Software\MozillaPlugins]

:Files
c:\program files\lecteur canalplay
C:\program files\mozilla firefox
C:\Program Files\Mozilla Firefox 4.0 Beta 11

:Commands
[emptytemp]



Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


Tu peux supprimer manuellement les raccourcis et dossier dans le menu démarrer lié à Canalplay et Firefox ensuite.
Titre: Re : PC en danger!
Posté par: Bugbugbug le octobre 30, 2012, 17:42:01
La version googlechrome est la suivante : Version 22.0.1229.94 m

J'ai suivi les étapes avec OTL mais l'ordinateur ne redémarrant pas tout seul, je l'ai fait manuellement. Seulement j'ai l'impression que les programmes en question sont toujours sur l'ordinateur. J'ai attendu 10 minutes avant de redémarrer l'ordinateur : il n'y sur le bureau que la fenêtre OTL tout le reste avait disparu.

Dois-je réessayer attendre plus longtemps avant de redémarrer l'ordinateur?
Titre: Re : PC en danger!
Posté par: hyunkel30 le octobre 30, 2012, 18:00:25
Re,

Ok pour chrome, c’est la version la plus récente, il faut savoir ensuite que Chrome embarque directement une version de flash player en lui, ce qui fait qu'on se retrouve parfois avec un décalage par rapport au dernières versions sortie, le temps que Chrome se mette à jour. C'est donc "normal" parfois d'avoir des alertes comme sur Secunia.

Concernant OTL, refais la manipulation en mode sans échec, un des programmes doit empêcher le fonctionnement :
Aide : Comment faire démarrer son ordinateur en mode sans échec (http://www.infos-du-net.com/forum/272325-11-tuto-demarrer-mode-echec).
Titre: Re : PC en danger!
Posté par: Bugbugbug le octobre 30, 2012, 19:46:32
La mauvaise nouvelle de la soirée : même en mode sans échec ça fait planter l'ordinateur; il ne reste ensuite plus qu'à redémarrer l'ordinateur manuellement seulement les programmes sont toujours là!

Ils sont coriaces!
Titre: Re : PC en danger!
Posté par: hyunkel30 le octobre 30, 2012, 20:08:11
Re,

Refais ceci en mode normal pour voir :

  Relance  OTL.exe

(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

/!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\


Code: [Sélectionner]


:OTL
SRV - [2012/03/06 15:01:18 | 000,932,240 | ---- | M] (Canal+ Distribution) [On_Demand | Stopped] -- C:\Program Files\Lecteur CANALPLAY\CanalPlayService.exe -- (Service CANALPLAY)
CHR - plugin: CanalPlus Utilitaires CanalPlay (Enabled) = C:\Program Files\Lecteur CANALPLAY\npcplay.dll
O15 - HKLM\..Trusted Domains: canalplay.com ([]* in Trusted sites)
O15 - HKLM\..Trusted Domains: canalplusactive.com ([]* in Trusted sites)
O15 - HKU\S-1-5-21-3924427912-2266551140-920310711-1000\..Trusted Domains: canalplay.com ([]* in Trusted sites)
O15 - HKU\S-1-5-21-3924427912-2266551140-920310711-1000\..Trusted Domains: canalplusactive.com ([]* in Trusted sites)
O33 - MountPoints2\{7dec1869-3c10-11df-b32f-002243a36d1c}\Shell\AutoRun\command - "" = PICHEK///mrakacha.exe
O33 - MountPoints2\{7dec1869-3c10-11df-b32f-002243a36d1c}\Shell\open\command - "" = PICHEK///mrakacha.exe
O33 - MountPoints2\{b0565e48-eb3d-11de-96c2-002243a36d1c}\Shell\AutoRun\command - "" = E:\SLATKO/torta.exe
O33 - MountPoints2\{b0565e48-eb3d-11de-96c2-002243a36d1c}\Shell\explore\command - "" = E:\SLATKO/torta.exe
O33 - MountPoints2\{b0565e48-eb3d-11de-96c2-002243a36d1c}\Shell\open\command - "" = E:\SLATKO/torta.exe
O33 - MountPoints2\{d883c4c1-08f3-11e0-8171-002243a36d1c}\Shell\AutoRun\command - "" = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL E:\autorun.exe
[183 C:\Users\Axel\Desktop\*.tmp files -> C:\Users\Axel\Desktop\*.tmp -> ]


:Reg
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{2CC8B9A6-AADE-42C1-8FE5-446CC91C40EA}"=-
"{9514EF5A-1910-4A5F-BF39-829F2CA0B7CD}"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9E37358-E3E1-47BA-9E21-375EF3616BC9}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AdobeReader]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\hpzku]

:Files
c:\program files\lecteur canalplay

:Commands
[emptytemp]



:Commands
[emptytemp]



Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
Titre: Re : PC en danger!
Posté par: Bugbugbug le octobre 30, 2012, 22:04:11
J'ai rééssayé en mode normal puis en mode sans échec; malheureusement le programme OTL plante à chaque fois et rien ne se passe! Je redémarre à chaque fois l'ordinateur manuellement ...

C'est grave docteur?!
Titre: Re : PC en danger!
Posté par: hyunkel30 le octobre 31, 2012, 11:49:38
Re,

Réessaye la même chose avec ce script :


  Relance  OTL.exe

(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

/!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\


Code: [Sélectionner]


:OTL
SRV - [2012/03/06 15:01:18 | 000,932,240 | ---- | M] (Canal+ Distribution) [On_Demand | Stopped] -- C:\Program Files\Lecteur CANALPLAY\CanalPlayService.exe -- (Service CANALPLAY)
CHR - plugin: CanalPlus Utilitaires CanalPlay (Enabled) = C:\Program Files\Lecteur CANALPLAY\npcplay.dll
O15 - HKLM\..Trusted Domains: canalplay.com ([]* in Trusted sites)
O15 - HKLM\..Trusted Domains: canalplusactive.com ([]* in Trusted sites)
O15 - HKU\S-1-5-21-3924427912-2266551140-920310711-1000\..Trusted Domains: canalplay.com ([]* in Trusted sites)
O15 - HKU\S-1-5-21-3924427912-2266551140-920310711-1000\..Trusted Domains: canalplusactive.com ([]* in Trusted sites)
[183 C:\Users\Axel\Desktop\*.tmp files -> C:\Users\Axel\Desktop\*.tmp -> ]


:Reg
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{2CC8B9A6-AADE-42C1-8FE5-446CC91C40EA}"=-
"{9514EF5A-1910-4A5F-BF39-829F2CA0B7CD}"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9E37358-E3E1-47BA-9E21-375EF3616BC9}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AdobeReader]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\hpzku]

:Files
c:\program files\lecteur canalplay

:Commands
[emptytemp]



Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
Titre: Re : PC en danger!
Posté par: Bugbugbug le octobre 31, 2012, 18:16:20
Nouvelle tentative et pourtant nouvel échec! J'en suis désolé!
Du coup je me demande si on peut vraiment faire quelque chose?! J'espère ...!
Titre: Re : PC en danger!
Posté par: hyunkel30 le octobre 31, 2012, 18:48:24
Re,

Moi je désespère jamais, j'ai plein de solution, mais avant celle "nucléaire", je voulais tester les frappe chirurgicale, c'tout ;)

Relance  OTL.exe

(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

/!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\


Code: [Sélectionner]

:OTL
SRV - [2012/03/06 15:01:18 | 000,932,240 | ---- | M] (Canal+ Distribution) [On_Demand | Stopped] -- C:\Program Files\Lecteur CANALPLAY\CanalPlayService.exe -- (Service CANALPLAY)
CHR - plugin: CanalPlus Utilitaires CanalPlay (Enabled) = C:\Program Files\Lecteur CANALPLAY\npcplay.dll
O15 - HKLM\..Trusted Domains: canalplay.com ([]* in Trusted sites)
O15 - HKLM\..Trusted Domains: canalplusactive.com ([]* in Trusted sites)
O15 - HKU\S-1-5-21-3924427912-2266551140-920310711-1000\..Trusted Domains: canalplay.com ([]* in Trusted sites)
O15 - HKU\S-1-5-21-3924427912-2266551140-920310711-1000\..Trusted Domains: canalplusactive.com ([]* in Trusted sites)
[183 C:\Users\Axel\Desktop\*.tmp files -> C:\Users\Axel\Desktop\*.tmp -> ]

:Commands
[emptytemp]



Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
Titre: Re : PC en danger!
Posté par: Bugbugbug le novembre 02, 2012, 23:34:18
-
Titre: Re : PC en danger!
Posté par: hyunkel30 le novembre 03, 2012, 09:18:16
Re,

Sauf que l'outil n'a rien supprimé, surement parce que le nettoyage avait déjà été fait une des première fois malgré le blocage.

On va contrôler pour voir ce qu'il reste :

Relance OTL :


Code: [Sélectionner]
netsvcs
msconfig
drivers32
activex
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\syswow64\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\syswow64\drivers\*.sys /lockedfiles
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
CREATERESTOREPOINT

Une aide à l'utilisation ici (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)

Note : Les rapports sont aussi enregistrés sur le bureau
Titre: Re : PC en danger!
Posté par: Bugbugbug le novembre 05, 2012, 09:51:58
-
Titre: Re : PC en danger!
Posté par: hyunkel30 le novembre 05, 2012, 10:04:23
Re,

C'est parce que tu n'as pas respecté cette étape de la procédure :
Citer
Coche "Avec liste Blanche" sous "Registre: approfondi"

Or il me faut justement le second rapport, donc merci de refaire la procédure ;)
Titre: Re : PC en danger!
Posté par: Bugbugbug le novembre 05, 2012, 21:01:02
-
Titre: Re : PC en danger!
Posté par: hyunkel30 le novembre 05, 2012, 21:59:50
Re,

Voyons si maintenant peut terminer le reste du ménage :

  Relance  OTL.exe

(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

/!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\


Code: [Sélectionner]

:OTL
FF - HKLM\Software\MozillaPlugins\@canalplay.com/CanalPlay: C:\Program Files\Lecteur CANALPLAY\npcplay.dll File not found
CHR - plugin: CanalPlus Utilitaires CanalPlay (Enabled) = C:\Program Files\Lecteur CANALPLAY\npcplay.dll
O9 - Extra 'Tools' menuitem : Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - Reg Error: Key error. File not found

:Reg
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{2CC8B9A6-AADE-42C1-8FE5-446CC91C40EA}"=-
"{9514EF5A-1910-4A5F-BF39-829F2CA0B7CD}"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9E37358-E3E1-47BA-9E21-375EF3616BC9}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AdobeReader]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\hpzku]

:Files
c:\program files\lecteur canalplay

:Commands
[emptytemp]



Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\

Titre: Re : PC en danger!
Posté par: Bugbugbug le novembre 06, 2012, 17:43:23
Deux tentatives dont une en mode sans échec : à chaque fois l'ordinateur plante et ne redémarre pas. Je dois donc le faire manuellement sans que le processus s'achève normalement.
Titre: Re : PC en danger!
Posté par: hyunkel30 le novembre 06, 2012, 18:27:03
Re,

Fermes-tu Firefox et Chrome avant de lancer le correctif ?
Titre: Re : PC en danger!
Posté par: Bugbugbug le novembre 06, 2012, 21:21:45
Oui tout est fermé. Je viens de retenter l'expérience encore une fois. Toujours sans succès.
Titre: Re : PC en danger!
Posté par: hyunkel30 le novembre 06, 2012, 21:27:50
Re,

Il est quand même zarbi ton pc ... :NNN

Bon, on va refaire en détaillant pour voir ce qui bloque :



  Relance  OTL.exe

(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

/!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\


Code: [Sélectionner]

:Reg
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{2CC8B9A6-AADE-42C1-8FE5-446CC91C40EA}"=-
"{9514EF5A-1910-4A5F-BF39-829F2CA0B7CD}"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9E37358-E3E1-47BA-9E21-375EF3616BC9}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AdobeReader]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\hpzku]

:Commands
[emptytemp]



Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
Titre: Re : PC en danger!
Posté par: Bugbugbug le novembre 12, 2012, 21:19:06
Re,

Bon ça ne marche pas non plus!

Je crois que cette fois-ci mon ordinateur ne pourra pas être débarrassé des programmes en question! Mais tant pis car mon ordinateur marche quand même beaucoup mieux depuis ton aide! Vraiment mieux!

Merci encore en tout cas pour toute l'aide! Pouvons-nous encore faire quelque chose?
Titre: Re : PC en danger!
Posté par: hyunkel30 le novembre 12, 2012, 22:39:18
Re,

Bah c’est juste des reste, mais j'aimerais comprendre ce qui coince, y'a rien normalement dans ce script qui doit bloquer ...

Tu peux tester celui-ci pour voir ?

  Relance  OTL.exe

(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

/!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\


Code: [Sélectionner]
:OTL
FF - HKLM\Software\MozillaPlugins\@canalplay.com/CanalPlay: C:\Program Files\Lecteur CANALPLAY\npcplay.dll File not found
CHR - plugin: CanalPlus Utilitaires CanalPlay (Enabled) = C:\Program Files\Lecteur CANALPLAY\npcplay.dll
O9 - Extra 'Tools' menuitem : Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - Reg Error: Key error. File not found

:Files
c:\program files\lecteur canalplay

:Commands
[emptytemp]




Note :  S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\