[Réglé]infection probable

[galyfa]

Bonjour, sur u pc portable Asus sous Windows 7, j'ai fait un bon nettoyage récemment , ADWcleaner, Malwarebytes et un coup de CCleaner. il va "beaucoup mieux" mais il doit rester quelques résidus car le curseur "sautille" et le sablier s'affole régulièrement. J'ai donc suivi la rubrique "préparer sa désinfection" dont je joints les rapports ainsi que celui de MBA que j'avais fait précédemment. Merci d'avance pour votre aide.

OTL.Txt

Extras.Txt

mba.txt

[guugues]

Hello Galyfa !

Je vais te prendre en charge pour la désinfection, mais d'abord, je vais te demander de prendre connaissance de ces quelques règles :

La désinfection ne sera terminée que lorsque je le dirai. Merci de continuer jusqu'au bout, même si les symptômes apparents ont disparu.

Les outils que je te demanderai de télécharger devront être enregistrés sur ton bureau : aide en images
(merci à H.A.W.X).

Tous les rapports devront être joints sur le forum comme mentionné dans ce tutoriel.

Ne suis pas plusieurs procédures de désinfection sur différents forums, au risque d'endommager ton système d'exploitation.

Ne fais rien de ta propre initiative.

Je suis bénévole : je ne pourrai donc pas toujours te répondre de suite.

On va refaire une analyse OTL de la manière suivante :


OTL – Réanalyse :

• Ferme toutes les applications en cours, puis lance OTL.

Sous Windows Vista/Seven/8, clique droit sur OTL puis Exécuter en tant qu'administrateur

• Coche les cases Tous les utilisateurs, Recherche Lop et Recherche Purity.
• Coche également la case Avec liste blanche dans la catégorie Registre: approfondi.
• Si ton Windows est en 64 bit, la case Avec analyses 64 bit doit être cochée par défaut :

• Copie le contenu du cadre ci-dessous en cliquant sur Tout sélectionner, clique-droit sur la zone sélectionnée puis choisis Copier :

Code: Tout sélectionner

netsvcs
msconfig
safebootminimal
safebootnetwork
drivers32
activex
/md5start
afd.sys
atapi.sys
cdfs.sys
cdrom.sys
dfsc.sys
hdaudbus.sys
i8042prt.sys
ipnat.sys
ipsec.sys
mrxsmb.sys
netbt.sys
ntfs.sys
parport.sys
rasl2tp.sys
rdpdr.sys
smb.sys
sptd.sys
tcpip.sys
tdx.sys
volsnap.sys
cmd.exe
explorer.exe
services.exe
svchost.exe
userinit.exe
wininit.exe
winlogon.exe
kernel32.dll
rpcss.dll
user32.dll
/md5stop
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.*
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%SystemDrive%\$RECYCLE.BIN\* /s
%SystemDrive%\RECYCLER\* /s
%SystemRoot%\assembly\GAC\*.*
%SystemRoot%\assembly\GAC_32\*.*
%SystemRoot%\assembly\GAC_64\*.*
%LOCALAPPDATA%\*.
%LOCALAPPDATA%\*.*
%LOCALAPPDATA%\Google\Desktop\* /s
%ProgramFiles%\Google\Desktop\* /s
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
%WINDIR%\pss\*.* /s
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\syswow64\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\syswow64\drivers\*.sys /lockedfiles
hklm\software
hklm\software\wow6432node
hkcu\software
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKLM\SOFTWARE\Microsoft\Internet Explorer\MAIN\FeatureControl|FEATURE_BROWSER_EMULATION /rs
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\FeatureControl|feature_enable_ie_compression /rs
HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main\FeatureControl|feature_enable_ie_compression /rs
nslookup www.google.fr /c
SAVEMBR:0
CREATERESTOREPOINT

• Puis colle-le sous la catégorie Personnalisation d’OTL.
• Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
• A la fin du scan, deux rapports s'ouvriront : OTL.txt et Extras.txt. Ceux-ci sont présents sur ton bureau.
• Joins ces 2 rapports dans ta prochaine réponse en suivant ce tutoriel.

----------------------------------------------

Sont donc attendus les 2 rapports de OTL.

[galyfa]

Bonjour guugues et merci de m'aider. J'ai bien lu les consignes.
Voici les deux rapports :

OTL.Txt

Extras.Txt

[guugues]

Re !


Tu n'as visiblement pas utilisé le script d'analyse que j'avais demandé, tant pis, on fera avec.


Je vais te demander de me fournir les rapports de AdwCleaner et RogueKiller (que tu as utilisés) en suivant ce tutoriel. Tu trouveras les rapports de AdwCleaner sous C:\AdwCleaner\. Pour RogueKiller :

• Après avoir cliqué sur Choisissez un fichier, colle la ligne suivante dans la catégorie Nom du fichier :

Code: Tout sélectionner

%programdata%\RogueKiller\Logs

• Puis clique sur Ouvrir.
• Sélectionne alors le rapport voulu.
• Puis poste le lien généré dans ta prochaine réponse.
• Recommence la même manipulation s'il y a d'autres rapports de RogueKiller.

---------------------------------------------------------------------------------------------


Il va falloir faire un peu de place sur le disque dur :

Drive C: | 74,52 Gb Total Space | 10,44 Gb Free Space | 14,00% Space Free | Partition Type: NTFS

En effet, il est recommandé d'avoir au minimum 20% d'espace disque de libre. Je t'invite donc à désinstaller les logiciels dont tu ne te sers pas/plus, à supprimer de gros fichiers/dossiers que tu n'utilises plus.


---------------------------------------------------------------------------------------------


1- Désinstallation des PUP / Adwares / logiciels inutiles via le panneau de configuration :


Désinstalle les logiciels suivants via : Démarrer → Panneau de configuration → Programmes → Programmes et fonctionnalités :

• Complément Messenger (Inutile, remplacé par Skype)
• Windows Live Messenger Companion Core (Inutile, remplacé par Skype)
• Spybot - Search & Destroy (Inutile)
• SpywareBlaster 5.0 (Inutile)

2- OTL – Correction :

• Relance OTL.

Sous Windows Vista/Seven/8, clique droit sur OTL puis Exécuter en tant qu'administrateur

• Télécharge la pièce jointe suivante sur ton bureau :

Script.txt

• Ouvre le fichier Script.txt puis copie toutes les lignes qui sont dedans, de :OTL à [emptytemp].

• Colle ensuite les lignes précédemment copiées dans la catégorie Personnalisation d'OTL.

• Ferme toutes les applications en cours, y compris Internet.
• Puis clique sur le bouton Correction. Patiente.
• S'il t'est demandé de redémarrer le PC : accepte.
• Le rapport est sauvegardé ici : C:\_OTL\MovedFiles\ sous la forme date_heure.log.
• Joins ce rapport dans ta prochaine réponse en suivant ce tutoriel.

---------------------------------------------------------------------------------------------

Sont donc attendus les rapports de AdwCleaner, RogueKiller et OTL.

[galyfa]

Re, bizarre j'étais certain d'avoir utilisé le script... bon.
Sinon, impossible de retrouver les rapports ADWcleaner et Rogue Killer, je les ai donc relancé. Rogue Killer a à nouveau trouvé des cochonneries mais ADWCleaner non, je ne peux donc pas poster son rapport.
Pour les programmes à désinstaller je n'ai pas trouvé "Complément Messenger" ni "Windows Live Messenger Companion Core".
Désolé pour ces contre-temps.
Voici les rapports :

01282015_173215.log

RKreport_DEL_01282015_165250.log

OTL.Txt

[guugues]

Re !

Pour les programmes à désinstaller je n'ai pas trouvé "Complément Messenger" ni "Windows Live Messenger Companion Core".

Tu peux désinstaller toute la suite Windows Live, comme je l'ai dit, Skype l'a remplacée.

mais ADWCleaner non, je ne peux donc pas poster son rapport.

Bien sûr que si ! AdwCleaner conserve ses rapports sous C:\AdwCleaner\ comme je l'ai mentionné tout à l'heure ! Donc j'attends que tu me les postes.


-------------------------------------------------------------------------------


Applique la procédure suivante :


VirusTotal :

• Rends-toi sur le site suivant : VirusTotal.
• Clique sur Choisir un fichier :

• Une fenêtre s'ouvre : dans la partie basse de la fenêtre, dans le cadre Nom du fichier, colle la ligne suivante :

Code: Tout sélectionner

C:\Users\solange\AppData\Everything\ServiceEverything.exe

• Puis clique sur le bouton Ouvrir :

• Clique ensuite sur le bouton Analyser!.
• Si une fenêtre Fichier déjà analysé apparaît, clique sur le bouton Réanalyser.
• Patiente le temps de l'analyse, jusqu'à ce que les 53 antivirus aient analysé le fichier.
• Copie le lien de la page puis colle-le dans ta prochaine réponse :

Recommence la même procédure pour les fichiers suivants :

Code: Tout sélectionner

C:\Users\solange\AppData\Everything\SearchBase.exe

Code: Tout sélectionner

C:\Users\solange\AppData\Everything\Everything.exe

Code: Tout sélectionner

C:\Users\solange\AppData\Everything\EverythingLoadHookx64.exe

Code: Tout sélectionner

C:\Users\solange\AppData\Everything\hookdllx64.dll

-------------------------------------------------------------------------------

Sont donc attendus les rapports de AdwCleaner et les liens VirusTotal.

[galyfa]

Bonsoir et merci pour le suivi .
Ok pour Windows Live, mais pour AdwCleaner je n'ai rien dans C:\AdwCleaner. Mais j'ai la fâcheuse habitude de le désinstaller après chaque utilisation...
Voici les rapport Virus total attendus :
https://www.virustotal.com/fr/file/2004 ... 422477754/
https://www.virustotal.com/fr/file/f0c3 ... 422477916/
https://www.virustotal.com/fr/file/c0a4 ... 422478026/
https://www.virustotal.com/fr/file/1e48 ... 422478181/
https://www.virustotal.com/fr/file/e219 ... 422478427/

[guugues]

Re !

C'est OK pour les liens VirusTotal (faux positifs de la part de RogueKiller). Applique la procédure suivante :


Eset Online Scanner :

• Télécharge Eset Online Scanner sur ton bureau.
• Lance le fichier.

Sous Windows Vista/Seven/8, clique droit sur le fichier puis Exécuter en tant qu'administrateur

• Coche la case OUI, j'accepte les conditions d'utilisation, puis clique sur Démarrer.

• Laisse le logiciel télécharger ses mises à jour.
• Assure-toi que la case Supprimer les menaces détectées soit bien cochée et coche la case Analyser les archives.
• Puis clique sur Paramètres avancés : coche les cases Rechercher les applications potentiellement indésirables et Rechercher les applications potentiellement dangereuses.
• Assure-toi que la case Activer la technologie Anti-Stealth (anti-furtivité) soit cochée.

Désactive ton antivirus afin de ne pas ralentir l'analyse et de ne pas afficher des messages d'alerte

• Ferme Internet.
• Clique sur Démarrer pour lancer l’analyse. Cela peut durer longtemps. Laisse l’outil travailler sans l’interrompre.
• Si aucune menace n'est détectée dis le moi simplement dans ta prochaine réponse.
• Si des menaces sont trouvées, elles seront supprimées automatiquement.
• Dans ce cas, génère le rapport en cliquant sur Liste des menaces détectées puis Exporter dans un fichier texte...
• Enregistre ce fichier sous le nom de Eset sur ton bureau.
• Joins ce rapport dans ta prochaine réponse en suivant ce tutoriel.

-----------------------------------------------------

Est donc attendu l'éventuel rapport de Eset.

[galyfa]

Bonjour, le voici :

eset.txt

[guugues]

Hello !

C'est OK pour le rapport ! Comment se comporte le PC ?

On passe au contrôle des mises à jour des logiciels sensibles :


SX Check&Update :

• Télécharge SX Check&Update sur ton bureau.
• Si l'antivirus émet des alertes, désactive-le temporairement.
• Lance sxcu.exe.

Sous Windows Vista/Seven/8, clique droit sur sxcu.exe puis Exécuter en tant qu'administrateur

• Clique ensuite sur le bouton Rapport :

• Un rapport, du nom de rapport_SX.txt, s'ouvre automatiquement.
• Celui-ci est présent sur ton bureau.
• Joins ce rapport dans ta prochaine réponse en suivant ce tutoriel.

-------------------------------------------------------

Est attendu le rapport de SXCU.

[galyfa]

Bonjour, le pc va bien mais j'ai toujours ce curseur qui sautille avec le sablier qui apparait régulièrement une fraction de seconde. Voici le rapport :

rapport_SX.txt

[guugues]

j'ai toujours ce curseur qui sautille avec le sablier qui apparait régulièrement une fraction de seconde.

Le fait que le sablier apparaisse quelques fois est normal. Par contre, en ce qui concerne le "curseur qui sautille", je ne vois pas trop ce que tu veux dire par là ... Toujours est-il que ce n'est pas une infection qui en est la cause.


------------------------------------------------------------------


Tu possèdes une version de Adobe Flash Player qui n'est pas à jour et qu'il faut désinstaller. Pour info :

Adobe Flash Player, Adobe Reader ainsi que Java sont des logiciels qui présentent des failles de sécurité lorsqu'ils ne sont pas à jour, failles qui sont exploitées par des hackers pour véhiculer des infections graves.

Il faut donc les maintenir à jour très régulièrement.

Désinstalle le logiciel suivant via : Démarrer → Panneau de configuration → Programmes → Programmes et fonctionnalités :

• Adobe Flash Player 10 Plugin (obsolète, constitue une faille de sécurité)

------------------------------------------------------------------


Une fois ceci fait, applique la procédure suivante :


SFTGC – Nettoyage des fichiers temporaires :

• Télécharge SFTGC sur ton bureau.
• Lance SFTGC.exe.

Sous Windows Vista/Seven/8, clique droit sur SFTGC.exe puis Exécuter en tant qu'administrateur

• Le logiciel s'initialise puis s'ouvre.
• Clique alors sur le bouton Go pour supprimer les fichiers temporaires inutiles :

• Un rapport du nom de SFTGC.txt est alors créé sur ton bureau.
• Joins ce rapport dans ta prochaine réponse en suivant ce tutoriel.

A l'issue de cette manipulation, clique-droit sur la Corbeille et sélectionne Vider la Corbeille.


------------------------------------------------------------------

Est donc attendu le rapport de SFTGC.

[galyfa]

Le voila :

SFTGC.txt

[guugues]

Bien ! On peut finaliser la procédure :


Purge de la restauration système / Suppression des outils de désinfection :

• Télécharge DelFix sur ton bureau.
• Lance Delfix.

Sous Windows Vista/Seven/8, clique droit sur DelFix puis Exécuter en tant qu'administrateur

• Coche la case Réactiver l'UAC (grisée sous Windows XP).
• Coche la case Supprimer les outils de désinfection.
• Coche la case Purger la restauration système.
• Coche la case Réinitialisation des paramètres système.
• Enfin, clique sur Exécuter :

• Le rapport est ici : C:\Delfix.txt.
• Joins ce rapport dans ta prochaine réponse en suivant ce tutoriel.

----------------------------------------

Est attendu le rapport de DelFix.


=====================================================================================================


La procédure de désinfection est désormais terminée. Je te remercie de l'avoir suivie jusqu'au bout.
Je t'invite maintenant à prendre connaissance des conseils de sécurité ci-dessous.


=====================================================================================================


¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Sécurisation du PC ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤



Tenir à jour Windows, les navigateurs et les programmes installés

• Prendre connaissance de ce tutoriel

Analyser régulièrement l'ordinateur

• Avec Malwarebytes Anti-Malware
• Avec ton Antivirus

Bloquer les publicités, potentiellement dangereuses

• AdBlockPlus pour Google Chrome
• AdBlockPlus pour Mozilla Firefox
• AdBlockPlus pour Internet Explorer
• AdBlockPlus pour Opera

Savoir si un site web possède une bonne ou mauvaise réputation

• Pour tous les navigateurs : Web Of Trust (WOT)

Éviter d'être de nouveau infecté

• Pourquoi et comment je me fais infecter
• Sécuriser son ordinateur et connaître les menaces
• Les toolbars, c'est pas obligatoire
• Dossier Prévention et Sécurité
• Comment éviter les Ransomware
• Module interactif : Principes essentiels de la sécurité informatique

Les pratiques à éviter

• Les dangers du Peer-to-Peer
• Le danger des cracks

Si tu as des questions, n'hésite pas !

[galyfa]

Voici le rapport DelFix :

DelFix.txt

C'est moi qui te remercie de m'avoir aidé, vraiment. J'ai de la lecture, je vais m'y attacher.
Merci encore pour ton efficacité et ta réactivité.