[Résolu] Un ordi tout pourri

[diogene]

Une collègue de mon épouse m'a passé son ordinateur parce qu'il était très ralenti et qu'elle avait un imminent (sic).
Quand je l'ai allumé, je me suis rendu compte qu'elle baignait dans la litote. J'ai vu passer des noms comme Qvo6, Delta Search, tuto4pc... une anthologie de l'adware.
Franchement, je ne comprends pas comment il se fait que Windows soit en vente libre. Ça devrait être réservé aux professionnels.

J'ai péniblement réussi à installer Malwarebyte et il m'a découvert la bagatelle de 89 malwares (!) ; surtout des Pup. Le nettoyage a bien arrangé les choses, mais je suis sûr d'en avoir laissé.

Bon, bref. Je me suis dit que le forum pc-infopratique (quel beau forum !) héberge des helpers efficaces et dévoués et que mieux valait s'en référer à leurs compétences. J'ai suivi les consignes de préparation de désinfection et voilà les rapports d'OTL : OTL.txt et Extras.txt

Petite précision, l'ordi est un ancien Dell d'entreprise sous XP Pro SP3 et je n'ai aucun support de sauvegarde.

Merci d'avance de vous préoccuper de ce souci.
Diogène

[Raptor14]

Salut

No soucis

• Télécharge Shortcut_Module (de g3n-h@ckm@n) sur ton bureau.
  
• Lance Shortcut_Module, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
  
  Note : Patiente le temps du scan
  
  
• Copie et colle le rapport qui va s'ouvrir sur le forum.

++

[EinsteinZero]

Franchement, je ne comprends pas comment il se fait que Windows soit en vente libre. Ça devrait être réservé aux professionnels.

Moi non plus .....c'est comme pour les armes, il faudrait un permis pour ça

[diogene]

Voilà le rapport de Shortcut Module :

Code: Tout sélectionner

¤¤¤¤¤¤¤¤¤¤ | Shortcut_Module 27.09.2013 - g3n-h@ckm@n

15:26:30 - 12/10/2013

Disinfected :

[Raptor14]

Ok pour le rapport, il a trouvé ce que je voulais qui était présent dans ton rapport OTL

Par contre à part MBAM qu'es ce que tu as passé comme outils stp ?
Parce que je vois une version de Adwcleaner mais qui date ...

J'attends ton rapports et tes précisions

[diogene]

Oups. J'ai oublié de te dire que j'avais aussi essayé de lancer AdwCleaner (que la propriétaire avait déjà téléchargé et sans doute utilisé), mais l'ordi était vraiment trop lent.
Tu veux que je le relance ?

[Raptor14]

Non pas celle la elle est largement dépassée, on passe OTL et ensuite oui.

• Copie les lignes ci dessous :

Code: Tout sélectionner

:OTL

SRV - [2013/09/16 13:03:55 | 000,119,408 | ---- | M] (The Software Group) [On_Demand | Stopped] -- C:\Program Files\Software\Update\SoftwareUpdate.exe -- (Software_update_m)
SRV - [2013/09/16 13:03:55 | 000,119,408 | ---- | M] (The Software Group) [Auto | Stopped] -- C:\Program Files\Software\Update\SoftwareUpdate.exe -- (Software_update)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] --  -- (PCIDump)
DRV - File not found [Kernel | System | Stopped] --  -- (lbrtfdc)
DRV - File not found [Kernel | System | Stopped] --  -- (i2omgmt)
DRV - File not found [Kernel | System | Stopped] --  -- (Changer)
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&from=cor&uid=WDCXWD400BB-75FJA1_WD-WCAJC2710977&ts=1377532129
IE - HKLM\..\SearchScopes,DefaultScope = {33BB0A4E-99AF-4226-BDF6-49120163DE86}
[2013/08/26 17:48:50 | 000,000,737 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\qvo6.xml
[2013/01/10 15:08:36 | 000,002,147 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\StartWeb.xml
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - No CLSID value found.
O3 - HKU\S-1-5-21-3833680965-1516322037-2618698031-1005\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O8 - Extra context menu item: Rechercher sur le Web - C:\Program Files\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found
O18 - Protocol\Handler\livecall - No CLSID value found
O18 - Protocol\Handler\msnim - No CLSID value found
NetSvcs: 6to4 -  File not found
NetSvcs: HidServ - %SystemRoot%\System32\hidserv.dll File not found
NetSvcs: Ias -  File not found
NetSvcs: Iprip -  File not found
NetSvcs: Irmon -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: WmdmPmSp -  File not found
[2013/09/16 13:04:50 | 000,000,000 | ---D | C] -- C:\Program Files\Fichiers communs\Umbrella     
[2013/09/16 13:04:25 | 000,000,000 | ---D | C] -- C:\Program Files\BrowseFox     
[2013/09/16 13:04:18 | 000,000,000 | ---D | C] -- C:\Program Files\Software     
[2013/09/16 13:04:18 | 000,000,000 | ---D | C] -- C:\Documents and Settings\nicole\Local Settings\Application Data\Software
[2013/09/15 19:40:38 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\eSafe
"C:\Program Files\Iminent\Iminent.exe" = C:\Program Files\Iminent\Iminent.exe:*:Enabled:Iminent Firewall Rule
"C:\Program Files\Iminent\Iminent.Messengers.exe" = C:\Program Files\Iminent\Iminent.Messengers.exe:*:Enabled:Iminent.Messengers Firewall Rule
"{81FCC50B-950F-4063-8E4A-D99CAA4FBB1F}" = Iminent

:Commands
[CREATERESTOREPOINT]
[RESETHOSTS]
[EMPTYTEMP]

• Lance OTL, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
  
• Colle les lignes copier au ci dessus dans la partie inférieure d'OTL "Personnalisation"
  
  
• Clique sur Correction
  
  
  
  
• OTL peut te demander de redémarrer, si c'est le cas fait le immédiatement !
• Une fois le scan terminé 1 rapport va s'ouvrir ¤¤¤¤¤¤¤¤¤¤¤.log.
• Copie et colle le contenu du rapport sur le forum.
  
  Note : Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés

[diogene]

Bon. Il semblerait que quelque chose n'a pas fonctionné. OTL m'a demandé de redémarrer, ce que j'ai fait. Une fois le rapport affiché, problème.
Le bureau apparaît d'abord vide. Les icônes et la barre des tâches apparaissent au bout d'un long moment. Mais le gros problème, c'est que tout a sauté du côté de la connexion réseau. Aucune connexion, aucun service réseau ne veut démarrer. sfc /scannow n'a rien résolu et la restauration à une date antérieure ne fonctionne plus.
En fait, je n'ai plus accès à aucun service (disque, station de travail, réseau, etc.)

[Raptor14]

Ca sent pas bon

Seuls ces liens sont officiels ne pas télécharger l'outil sur d'autres liens !

Note : Pendant le scan le bureau peu disparaître à plusieurs reprise


• Désactive toutes tes protections si possible, antivirus, sandbox, pare-feux ... ( >> Aide << )
  
• Télécharge Pre_Scan sur ton bureau !
  
  
• Si le lien n'est pas fonctionnel :
  
  • #ICI (renommé winlogon)
• Note : Si l'outil est relancé plusieurs fois, clique sur Scan|Kill
  
  
  
  
• Si l'outil est bloqué par l'infection essayes avec d'autres exetensions :
  
  • #SCR
  • #PIF
  • #COM
• Si des Proxy sont détectés :
  
  • Clique sur Supprimer le Proxy
• A la fin du scan, rends toi à la racine de ton disque dur ( C:\ )
• Héberge le rapport Pre_Scan¤¤¤¤¤¤¤¤¤.txt sur SosUpload

[diogene]

Bonjour,

Désolé pour le retard. Il a fallu que j'aille faire un tour In the real life

C'est un peu galère de jongler avec une clé USB sur un ordinateur qui n'a plus de connexion réseau. Mais bon. J'ai lancé PréScan. Il s'est bloqué plusieurs fois, mais le scan s'est quand même terminé.

Problème avec SosUpload. On dirait qu'il ne veut héberger que des images (L'ordi qui me sert à me connecter est sous ubuntu, c'est peut-être une explication.) J'ai donc hébergé le fichier de log chez cjoint :

Merci de ton aide.

[Raptor14]

Bonjour,

Ok pas grand chose dans le rapport de Pre_scan. Toujours le soucis réseau connexion ? Du mieux quelque part ?
J'aurais besoin du rapport de OTL correction stp avant de continuer

[diogene]

Rien de mieux. Impossible de relancer les services.

Voilà le lien du rapport OTL :

A plus.

[Raptor14]

ON va tenter la réparation via ESET :

• Télécharge ESET Services Repair (de ESET) sur ton bureau.
  
• Lance ESET Online Scanner, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
• Une fenêtre va s'ouvrir, clique sur Oui
  
  Note : Laisse l'outil travailler
  
  
• Une autre fenêtre va s'ouvrir, clique sur Oui
• Le dossier CC Support va se crée à l'endroit ou tu l'a lancé
• Héberge le rapport CC Support\Logs\SvcRepair.txt sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

++

[diogene]

Toujours la même difficulté avec SosUpload
Le lien vers le log de ServicesRepair :

La réparation n'a rien donné. Toujours pas de connexion réseau, de restauration, etc.

[Raptor14]

Bonjour,

Tu peux me dire le soucis de sosup stp ?
Ok, on restaure :

• Télécharge Zeb Restore par Nicolas Coolman sur ton bureau.
• Dézippe l'archive et double clic sur Zeb-Restore.exe
• Clic droit et éxécuter en tant qu'administrateur sous Vista et 7.
• Coche les cases suivantes et clic sur restaurer :

• - RegEdit
  
• - Policies
• - Clés Run
• - Réparation IE
• - Windows Update
• - Gestionnaire des taches
• - Préfixes et Protocoles Internet
• - Extensions des fichiers
• - Panneau de configuration
• - Ajout-Suppression de programmes
• - Restauration du système

• Clic sur restaurer.
• Redémarre le pc et dis moi si il y a du mieux.

++