[Réglé] PC complètement vérolé !

[olbi1801]

Bonjour,

je fais appel à vous car je sais que vous aidez les "pas forts" pour dépanner les ordis.
Et c'est mon cas ! J'ai téléchargé Filezilla... sans succès d'ailleurs et je pense avoir téléchargé beaucoup d'autres choses avec.

J'ai un PC portable, Dell, et je travaille sous Windows XP professionnel.

J'ai téléchargé AVAST, version premium (gratuite pendant 30 jours), mais malgré ça, j'ai 15000 pages qui s'ouvrent lorsque je lance MOZILLA, mon navigateur Internet. J'ai lancé AWCleaner qui m'a trouvé qques petites choses et qui a réussi à me sortir des pages d'eFixPro. Mais j'ai encore beaucoup beaucoup de choses.

AVAST me dit toutes les 3 minutes que qqch essaye de s'attaquer à mon ordi.

Pouvez-vous m'aider ?
D'avance un grand grand merci.

J'ai déjà fait appel à vos services il y a qques années, et vous aviez été au top !
Béatrice

[webdesigner]

Bonjour,
Est-ce que tu as fait une sauvegarde de Windows ?
Sais-tu faire une restauration depuis une date données dans le panneau de configuration ?

Le problème c'est que les merdouilles qui se sont installés sont en executions difficile à supprimer. Voici une proposition télécharge l'image ISO sur le site de Avira de http://www.avira.com/fr/download?product=avira-rescue-system grave là sur un CD est boot dessus et lance le scan et fonction du nombre de fichiers que tu as bah va falloir attendre. A la fin il te demandera si tu veux les supprimer regarde bien est note les fichiers pouvoir les identifiés.

[guugues]

Bonjour ,

Le problème c'est que les merdouilles qui se sont installés sont en executions difficile à supprimer. Voici une proposition télécharge l'image ISO sur le site de Avira de http://www.avira.com/fr/download?product=avira-rescue-system grave là sur un CD est boot dessus et lance le scan et fonction du nombre de fichiers que tu as bah va falloir attendre. A la fin il te demandera si tu veux les supprimer regarde bien est note les fichiers pouvoir les identifiés.

Tout dépend du type de malwares : s'il s'agit de PUP et d'Adwares (comme c'est vraisemblablement le cas ici), ce n'est pas bien compliqué de les supprimer.

Le passage par un LiveCD est donc ici complètement inadapté et une analyse de ce type reste une analyse antivirale classique, qui est loin de détecter l'ensemble des logiciels malveillants présents sur un PC. Le mieux est, comme on le fait à chaque fois sur ce forum en tant que helpers, d'effectuer une procédure de désinfection complète avec des outils spécifiques.


-----------------------------------------------------------------------------


olbi1801, je vais te prendre en charge pour la désinfection, mais d'abord, je vais te demander de prendre connaissance de ces quelques règles :

La désinfection ne sera terminée que lorsque je le dirai. Merci de continuer jusqu'au bout, même si les symptômes apparents ont disparu.

Les outils que je te demanderai de télécharger devront être enregistrés sur ton bureau : aide en images
(merci à H.A.W.X).

Tous les rapports devront être joints sur le forum comme mentionné dans ce tutoriel.

Ne suis pas plusieurs procédures de désinfection sur différents forums, au risque d'endommager ton système d'exploitation.

Ne fais rien de ta propre initiative.

Je suis bénévole : je ne pourrai donc pas toujours te répondre de suite.

Je te demanderai de me joindre les rapports de AdwCleaner en suivant ce tutoriel. Les rapports se trouvent ici : C:\AdwCleaner\.


Nous allons effectuer un diagnostic du système :


FRST – Scan :

• Si ton Windows est en 32 bits, télécharge FRST sur ton bureau (← Important !).
• Si ton Windows est en 64 bits, télécharge FRST64 sur ton bureau (← Important !).
• Le téléchargement se lance automatiquement, tu n'as donc pas besoin de cliquer sur un lien.
  
  Aide : comment savoir si Windows est en 32 ou 64 bits.

• Ferme toutes les applications en cours, y compris ton navigateur.
• Lance FRST.

Sous Windows Vista/Seven/8, clique droit sur FRST puis Exécuter en tant qu'administrateur

• Accepte les conditions d'utilisation, puis clique sur le bouton Scan :

• A la fin du scan, deux rapports s'ouvriront.
• Ceux-ci sont présents sur ton bureau sous le nom de FRST.txt et Addition.txt.
• Joins ces 2 rapports dans ta prochaine réponse en suivant ce tutoriel.

------------------------------------------------------------------

Sont donc attendus les rapports de AdwCleaner et FRST.

[olbi1801]

Addition.txt

FRST.txt

AdwCleaner.txt

[olbi1801]

Et MERCI pour votre aide !!!!

[guugues]

Re !

Avant de poursuivre, les rapports de AdwCleaner qui m'intéressent sont les suivants :

• C:\AdwCleaner\AdwCleaner[S0].txt
• C:\AdwCleaner\AdwCleaner[S1].txt

Je te demanderai de me les joindre.

[olbi1801]

Voilà les deux rapports demandés.
Bonne journée

[guugues]

Hello !

Bon ... Il est vraiment infecté ce PC, notamment par un Ver et beaucoup de fichiers Microsoft ne sont pas signés ce qui est étrange.


Ton PC est aussi infecté par des PUP / Adwares, qui ont les caractéristiques d'afficher des pubs intempestives, de collecter tes habitudes de navigation et d'installer des toolbars , car tu n'es pas assez vigilant(e) lors de l'installation de logiciels gratuits, qui proposent souvent ces PUP / Adwares pré-cochés pour l'installation.

Afin d'éviter ce genre d'infections, quelques recommandations :

En cas de téléchargements de logiciels, les effectuer uniquement via les sites officiels des éditeurs.

Ne télécharge donc pas tes logiciels sur des sites comme Clubic, Softonic ou 01.net.

Prends connaissance de ce qui est indiqué lors de l'installation de logiciels : assure-toi de décocher les éventuelles cases pré-sélectionnées.

A lire impérativement : Stop les publicités intempestives
A lire impérativement : S'entraîner à ne plus infecter son PC de PUP/Adwares


1- Désinstallation des PUP / Adwares / logiciels inutiles via le panneau de configuration :


Désinstalle les logiciels suivants via : Démarrer → Panneau de configuration → Programmes → Programmes et fonctionnalités :

• McAfee Agent (Inutile)

2- FRST – Fix :

• Télécharge la pièce jointe suivante sur ton bureau (au même endroit que FRST) :

fixlist.txt

• Ferme toutes les applications, y compris ton navigateur.

• Relance FRST.

Sous Windows Vista/Seven/8, clique droit sur FRST puis Exécuter en tant qu'administrateur

• Clique sur le bouton Fix :

• Il te sera demandé de redémarrer l'ordinateur : accepte.
• Le PC doit redémarrer normalement.
• Un rapport du nom de Fixlog.txt sera créé sur ton bureau.
• Joins ce rapport dans ta prochaine réponse en suivant ce tutoriel.

3- UsbFix – Recherche :

• Télécharge UsbFix sur ton bureau.
• Branche tous tes médias amovibles sur le PC (clés USB, disques durs externes ...) sans les ouvrir.
• Lance UsbFix.

Sous Windows Vista/Seven/8, clique droit sur UsbFix puis Exécuter en tant qu'administrateur

• Clique sur le bouton Recherche puis laisse l'outil travailler :

• Une fois la recherche terminée, un rapport s'ouvre automatiquement.
• Ce rapport est sauvegardé ici : C:\UsbFix\Log\UsbFix [Scan1] Nom_Du_PC.txt.
• Joins ce rapport dans ta prochaine réponse en suivant ce tutoriel.

----------------------------------------------------

Sont attendus les rapports de FRST et UsbFix.

[olbi1801]

Bonsoir,

Voici les deux rapports demandés.
Pour info, le FIX a fait du bien. Et je peux "avancer" sur Internet de façon beaucoup plus fluide. Je n'ai plus de fenêtres ou de pubs qui arrivent. Et l'affichage des pages va plus vite. Je suis désormais plus réactive pour continuer le nettoyage de mon ordi !

J'ai deux documents USBFix qui sont sortis, je mets les deux.

A bientôt.

[guugues]

Re !

On poursuit. Applique la procédure suivante :


ComboFix :


Ce logiciel doit être exécuté uniquement sous l'assistance d'un Helper
Désactive impérativement toute protection antivirale (aide en images)

• Télécharge ComboFix sur ton bureau.
• Lance ComboFix.exe.

Sous Windows Vista/Seven/8, clique droit sur ComboFix.exe puis Exécuter en tant qu'administrateur

• Ferme toutes les applications en cours, y compris Internet.
• Une fenêtre apparaît : clique sur J'accepte.
• Si tu es sous Windows XP, l'outil peut demander d'installer la console de récupération : accepte de suite.
• Le logiciel commence son analyse.
• Ne touche surtout pas au PC pendant le scan :

• Lorsque la recherche sera terminée, un rapport apparaîtra.
• Celui-ci est disponible ici : C:\Combofix.txt.
• Joins ce rapport dans ta prochaine réponse en suivant ce tutoriel.

A noter : tutoriel officiel d'utilisation de ComboFix.


------------------------------------------

Est attendu le rapport de ComboFix.

[olbi1801]

Bonjour,

Voici le rapport de Combofix.

Bon WE.
Béatrice

[guugues]

Re !

Bien ! On poursuit :


1- Junkware Removal Tool :

• Télécharge Junkware Removal Tool sur ton bureau.
• Lance Junkware Removal Tool.

Sous Windows Vista/Seven/8, clique droit sur JRT puis Exécuter en tant qu'administrateur

• Lorsque la fenêtre suivante apparaît, appuie sur n'importe quelle touche de ton clavier pour lancer l'outil :

• Le nettoyage commence. Le bureau est susceptible de disparaître, c'est normal. Laisse travailler l'outil.
• Un rapport va s'ouvrir automatiquement.
• Celui-ci est présent sur ton bureau sous le nom de JRT.txt.
• Joins ce rapport dans ta prochaine réponse en suivant ce tutoriel.

2- Malwarebytes Anti-Malware :

• Télécharge Malwarebytes Anti-Malware sur ton bureau.
• Le fichier mbam-setup apparaît sur ton bureau : lance-le pour installer le logiciel.
• Lors de l'installation, décoche la case Activer l'essai gratuit de Malwarebytes Anti-Malware Premium.
• Clique sur le bouton Terminer. Le logiciel démarre.
• Si le logiciel est en anglais, clique sur Settings, dans General Settings, choisis French pour Language.
• Dans l'onglet Détection et protection, configure le logiciel comme ci-dessous :

• Dans l'onglet Examen, l'Examen « Menaces » doit être sélectionné par défaut.
• Clique alors sur Lancer l'examen :

• Le logiciel se met à jour et l'analyse commence. Cela peut prendre un certain temps.
• Laisse travailler l'outil sans l’interrompre, jusqu'à ce que l'analyse soit terminée.
• Si des menaces sont détectées, clique sur le bouton Supprimer la sélection :

• Si l'outil t'a demandé de redémarrer le PC, fais-le de suite.
• Au redémarrage, relance Malwarebytes.
• Dans l'onglet Historique, clique sur la catégorie Journaux de l'application.
• Clique-gauche sur le journal du type Scan Log le plus récent.
• Une fenêtre s'ouvre : en bas à gauche, clique sur Exporter puis sur Fichier texte (*.txt) :

• Attribue au fichier le nom de mbam puis clique sur Enregistrer.
• Le rapport est disponible ici : C:\mbam.txt.
• Joins le rapport dans ta prochaine réponse en suivant ce tutoriel.

---------------------------------------------------------------

Sont attendus les rapports de JRT et MBAM.

[olbi1801]

Bonsoir,

voici mes deux rapports.

Pour info, les fichiers détectés par MBAM ont été mis en quarantaine mais non supprimés. Normal ?

Bonne soirée.

[guugues]

Bonsoir !

Pour info, les fichiers détectés par MBAM ont été mis en quarantaine mais non supprimés. Normal ?

Les éléments en question sont placés en quarantaine après un redémarrage du PC, qui a du être demandé par Malwarebytes. Donc logiquement pas de soucis.

Comment se comporte le PC désormais ?

On passe au contrôle des mises à jour des logiciels sensibles :


SX Check&Update :

• Télécharge SX Check&Update sur ton bureau.
• Si l'antivirus émet des alertes, désactive-le temporairement.
• Lance sxcu.exe.

Sous Windows Vista/Seven/8, clique droit sur sxcu.exe puis Exécuter en tant qu'administrateur

• Clique ensuite sur le bouton Rapport :

• Un rapport, du nom de rapport_SX.txt, s'ouvre automatiquement.
• Celui-ci est présent sur ton bureau.
• Joins ce rapport dans ta prochaine réponse en suivant ce tutoriel.

-------------------------------------------------------

Est attendu le rapport de SXCU.

[olbi1801]

Bonjour,

Vous êtes plus rapide que moi pour répondre .

L'ordi va nettement mieux depuis l'un des premiers logiciels. FRST je crois mais pas sure.

Les autres logiciels ont l'air de bien fonctionner. Sauf Windows Live Mail qui refuse de s'ouvrir. Je ne sais pas si c'est un problème lié aux virus/ver mais il me met cette erreur : "Impossible de démarrer WLM. Peut-être ce prgm n'est-il pas correctement installé. Assurez-vous que votre disque n'est pas plein ou que vous disposez de suffisamment de mémoire (0x80041161)". Est-ce que c'est lié ? Le mauvais fonctionnement de WLM remonte à la semaine dernière. Avant il fonctionnait bien.

L'ordi va nettement plus vite.

Voici le rapport SXCU.

Bonne journée.
Béatrice