[Réglé] desinfection malware sous vista (cacaoweb et autres)

[PelaoFr]

bonjour,
J'avais installé cacaoweb et j'ai vu sur un forum qu'il contaminait mon PC donc j'ai utilisé Adwcleaner une première fois pour nettoyer ma machine et il avait trouvé cacaoweb et autres logiciels malveillants mais malheuresement je n'ai pas gardé le rapport puis j'ai vu un sujet sur la desintallation de cacaoweb dans ce forum et j'ai utilisé Malwarebytes puis Adwcleaner une deuxieme fois dont voici les liens des rapports:

Rapport Malwerbytes

Rapport Adwcleane

Dans tous les cas je voudrais finaliser cette désinfection de routine de mon PC...
Merci d'avance pour votre précieuse aide.
Bonne soirée.

[guugues]

Salut PelaoFr et bienvenue !

Je vais te prendre en charge pour la désinfection, mais d'abord, je vais te demander de prendre connaissance de ces quelques règles :

La désinfection ne sera terminée que lorsque je le dirai. Merci de continuer jusqu'au bout, même si les symptômes apparents ont disparu.

Les outils que je te demanderai de télécharger devront être enregistrés sur ton bureau : aide en images
(merci à H.A.W.X).

Ne suis pas plusieurs procédures de désinfection sur différents forums, au risque d'endommager ton système d'exploitation.

Ne fais rien de ta propre initiative.

Je suis bénévole : je ne pourrai donc pas toujours te répondre de suite.

Ton PC est visiblement infecté par des PUP / Adwares, qui ont les caractéristiques d'afficher des pubs intempestives, de collecter tes habitudes de navigation et d'installer des toolbars , car tu n'es pas assez vigilant(e) lors de l'installation de logiciels gratuits, qui proposent souvent ces PUP / Adwares pré-cochés pour l'installation.

Afin d'éviter ce genre d'infections, quelques recommandations :

En cas de téléchargements de logiciels, les effectuer uniquement via les sites officiels des éditeurs.

Ne télécharge pas tes logiciels sur des sites comme Softonic ou 01.net.

Prendre connaissance de ce qui est indiqué lors de l'installation de logiciels : s'assurer de décocher les éventuelles cases pré-sélectionnées.

As-tu supprimé les éléments trouvés par MBAM ? Car dans le rapport, il semblerait qu'aucune action de suppression n'ait été faite :

-> Aucune action effectuée.

C'est parti pour la procédure :


1- Junkware Removal Tool :

• Télécharge Junkware Removal Tool sur ton bureau.
• Lance Junkware Removal Tool.

Sous Windows Vista/Seven/8, clique droit sur JRT puis Exécuter en tant qu'administrateur

• Lorsque la fenêtre suivante apparaît, appuie sur n'importe quelle touche de ton clavier pour lancer l'outil :

• Le nettoyage commence. Le bureau est susceptible de disparaître, c'est normal. Laisse travailler l'outil.
• Un rapport va s'ouvrir automatiquement.
• Copie et colle le contenu de ce rapport dans ta prochaine réponse.

2- OTL – Analyse :

• Télécharge OTL sur ton bureau.
• Ferme toutes les applications en cours, puis lance OTL.

Sous Windows Vista/Seven/8, clique droit sur OTL puis Exécuter en tant qu'administrateur

• Coche les cases Tous les utilisateurs, Recherche Lop et Recherche Purity.
• Si ton Windows est en 64 bit, la case Avec analyses 64 bit doit être cochée par défaut :

• Copie le contenu du cadre ci-dessous en cliquant sur Tout sélectionner, clique-droit sur la zone sélectionnée puis choisis Copier :

Code: Tout sélectionner

netsvcs
msconfig
safebootminimal
safebootnetwork
drivers32
activex
/md5start
afd.sys
atapi.sys
ipsec.sys
netbt.sys
tcpip.sys
explorer.exe
wininit.exe
winlogon.exe
userinit.exe
kernel32.dll
svchost.exe
services.exe
/md5stop
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\syswow64\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\syswow64\drivers\*.sys /lockedfiles
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
HKLM\SOFTWARE\Microsoft\Internet Explorer\MAIN\FeatureControl|FEATURE_BROWSER_EMULATION /rs
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\FeatureControl|feature_enable_ie_compression /rs
HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main\FeatureControl|feature_enable_ie_compression /rs
nslookup www.google.fr /c
SAVEMBR:0
CREATERESTOREPOINT

• Puis colle-le sous la catégorie Personnalisation d’OTL.
• Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants. A la fin du scan, deux rapports s'ouvriront : OTL.txt et Extras.txt. Ceux-ci sont présents sur ton bureau.
• Héberge chacun de ces rapports sur cjoint.com puis poste moi les liens dans ta prochaine réponse.

--------------------------------------------------------------

Sont donc attendus les rapports de : JRT et OTL.

[PelaoFr]

Merci de votre réponse.
Je dois refaire un passage avec malwarebytes??

[PelaoFr]

desolé j'ai mal copié le code je relance OTL

[PelaoFr]

Voila les bon rapports:

Junkware:

OTL:

OTL Extra

[guugues]

Re,

Je dois refaire un passage avec malwarebytes??

Non, on va traiter les éléments trouvés par MBAM avec un script de correction que je vais te préparer, mais en effet, tu as effectué une analyse de plus de 3h pour rien. ^^

J'analyse tes rapports et je reviens vers toi dès que possible.

[PelaoFr]

j'ai remarqué que la deuxième fois que j'ai fait tourner OTL il n'a pas généré de fichier extra donc c'est le premier où je n'avais pas bien copier le contenu du cadre qui est là. Désolé pour la fausse manip.

[guugues]

Re,

Ton disque dur commence à agoniser : les deux partitions sont quasiment pleines :

8,49% Space Free
0,18% Space Free

Je te conseille de désinstaller tous les logiciels dont tu ne te sers pas / plus pour libérer de l'espace.


Tu utilises 2 antivirus : Comodo Internet Security et Avast : il va falloir en désinstaller un : il y a de forts risques de conflits et de ralentissements de la machine. La règle, c'est 1 antivirus par PC.


1- Désinstallation des PUP / Adwares / logiciels inutiles via le panneau de configuration :


Désinstalle les logiciels suivants via : Démarrer → Panneau de configuration → Programmes → Programmes et fonctionnalités :

• GeekBuddy (inutile)
• TuneUp Utilities 2014 (inutile)

2- OTL – Correction :

• Relance OTL.

Sous Windows Vista/Seven/8, clique droit sur OTL puis Exécuter en tant qu'administrateur

• Si tu utilises Google Chrome, désactive temporairement la traduction automatique en suivant ce tutoriel.

• Copie toutes les lignes se trouvant au lien suivant ( de :OTL à [emptytemp] ) :
  http://cjoint.com/13nv/CKtrKwFsFlX_pelaofr.txt

• Colle ensuite les lignes précédemment copiées dans la catégorie Personnalisation d'OTL.

• Ferme toutes les applications en cours, y compris Internet.
• Puis clique sur le bouton Correction. Patiente.
• S'il t'est demandé de redémarrer le PC : accepte.
• Le rapport est sauvegardé ici : C:\_OTL\MovedFiles\ sous la forme date_heure.log.
• Héberge le rapport en utilisant le site Cjoint.com pour poster le lien dans ta prochaine réponse.

3- SX Check&Update :

• Télécharge SX Check&Update sur ton bureau.
• Si l'antivirus émet des alertes, désactive-le temporairement.
• Lance sxcu.exe.

Sous Windows Vista/Seven/8, clique droit sur sxcu.exe puis Exécuter en tant qu'administrateur

• Clique ensuite sur le bouton Rapport :

• Un rapport, du nom de rapport_SX.txt, s'ouvre automatiquement.
• Poste le contenu de ce rapport dans ta prochaine réponse.

--------------------------------------------------

Sont donc attendus les rapports de OTL et de SXCU.

[PelaoFr]

Re,

Bonsoir,

Rapport OTL:

Rapport SXCU:

voila les deux rapports et merci pour votre disponibilité.

[PelaoFr]

En fait IE7 je ne l'ai pas mis a jour car je ne l'utilise jamais seulement firefox, j'utilise aussi une ancienne version de ITunes (10.7.0.21)dont je préfère l'interface, est-ce que ça pose problème du point vue sécurité? de plus je voudrais savoir si je peux désinstaller Microsoft.NET framework 3.5 SP1 car il y a la version 4 installé. merci d'avance de votre reponse.

[guugues]

Re,

Ok pour les rapports !

En fait IE7 je ne l'ai pas mis a jour car je ne l'utilise jamais seulement firefox

Même si tu ne l'utilises pas, il faut le maintenir à jour, le tout, via Windows Update.

je voudrais savoir si je peux désinstaller Microsoft.NET framework 3.5 SP1 car il y a la version 4 installé. merci d'avance de votre reponse.

A priori, il il vaut mieux conserver les versions, comme mentionné sur le site officiel de Microsoft.


As-tu désinstallé un des 2 antivirus comme je te l'ai conseillé ?

Comment se comporte le PC désormais ?


On continue :


1- SFTGC – Nettoyage des fichiers temporaires :

• Télécharge SFTGC sur ton bureau.
• Lance SFTGC.exe.

Sous Windows Vista/Seven/8, clique droit sur SFTGC.exe puis Exécuter en tant qu'administrateur

• Le logiciel s'initialise puis s'ouvre.
• Clique alors sur le bouton Go pour supprimer les fichiers temporaires inutiles :

• Un rapport du nom de SFTGC.txt est alors créé sur ton bureau.
• Poste son contenu dans ta prochaine réponse.

2- Purge de la restauration système / Suppression des outils de désinfection :

• Télécharge DelFix sur ton bureau.
• Lance Delfix.

Sous Windows Vista/Seven/8, clique droit sur DelFix puis Exécuter en tant qu'administrateur

• Coche la case Réactiver l'UAC (grisée sous Windows XP).
• Coche la case Supprimer les outils de désinfection.
• Coche la case Purger la restauration système.
• Coche la case Réinitialisation des paramètres système.
• Enfin, clique sur Exécuter :

• Le rapport est ici : C:\Delfix.txt.
• Poste son contenu dans ta prochaine réponse.

-----------------------------------------------------------

Sont donc attendus les rapports de SFTGC et de DelFix.

[PelaoFr]

Re,
j'ai mis a jour IE et désinstalle Comodo ainsi que GeekBuddy, TuneUp Utilities 2014 et plusieurs logiciel pas trop utilisés pour faire de la place. Maintenant il reste 8.49 Go sur C: et 2.64 Go sur D:
Je fait les manip demandés et je vous envoie les rapports.

[PelaoFr]

Re,
Bonsoir,
Malheureusement le premier rapport de SFTGC a été effaçe par DelFix mais il y avait approximativement 740 fichiers effacés donc après Delfix j'ai refait la manip de SFTGC et je vous envoie le deuxième rapport

Rapport DelFix:

2nd Rapport SFTGC:

Sinon Windows me signale avoir bloqué des Programmes de demarrage et quand je regarde j'ai trois fichier N/A Non encore classifiés:
cfFncEnabler.exe
NDSTray.exe
cis7B1.exe" --PostUninstall {81EFDD93-DBBE-415B-BE6E-49B9664E3E82}

Et un N/A Autorisé:
GoogleEULALauncher.exe

Ca correspond a quoi?? avant il ne me faisait pas ça, c'est depuis que j'ai desinstallé Comodo et donc retourné sur le firewall de Windows.

[PelaoFr]

Par rapport au comportement du PC je remarque une légère augmentation de l'utilisation de la Ram avant elle était vers les 54% et maintenant elle est a 60% que je pense est du au fait que TuneUp empêchait le démarrage automatique de certaines applications pour libérer des ressources mais je trouve ça minime.

[guugues]

Re,

Il doit rester pas mal de traces de Comodo et de TuneUp, qui sont réputés pour bien s'ancrer dans le système. On va refaire une analyse pour supprimer les restes qui leur sont associés :


SEAF :

• Télécharge SEAF sur ton bureau.
• Lance SEAF.exe.

Sous Windows Vista/Seven/8, clique droit sur SEAF.exe puis Exécuter en tant qu'administrateur

• Copie et colle la ligne suivante dans la zone de recherche du logiciel :

Comodo,Tuneup

• Coche les cases Afficher également les dossiers et Chercher également dans le registre.
• Puis clique sur le bouton Lancer la recherche :

• Laisse l'outil travailler. Une fois l'analyse terminée, un rapport va s'ouvrir.
• Celui-ci est disponible ici : C:\SeafLog.txt.
• Héberge ce rapport sur cjoint.com puis poste moi le lien dans ta prochaine réponse.

Nous pouvons, si tu le souhaites, désactiver des applications qui se lancent automatiquement au démarrage et qui peuvent ainsi ralentir inutilement le PC. Pour cela :


→ Menu Démarrer → Exécuter → Dans la fenêtre qui apparaît, tape msconfig :

• Une nouvelle fenêtre s'ouvre.
• Rends-toi dans l'onglet Démarrage : tu peux décocher toutes les cases sauf celles relatives à ton antivirus (Avast).
• Clique ensuite sur Appliquer puis OK.
• Il te sera demandé de redémarrer le PC : accepte.

N'oublie pas de vérifier que le pare-feu Windows est bien actif, il me semble que cela ne se fait pas de manière automatique.


-------------------------------------------------

J'attends donc le rapport de SEAF.