Rapport AdwCleaner

[JPL]

Bonjour Chantal

Sur mon nouvel ordinateur que j'ai depuis quelques semaines mon attention a été attirée à la lecture du journal des applications par Amazon1Button... qui semblait aboutir à un échec. Je viens de relancer mon ordinateur il y a quelques instants et je découvre avec stupeur qu'au redémarrage il s'est installé dans Temp : Amazon1ButtonApp-US.msi et le journal des applications montre que ce msi a été appelé et a installé ce bouton Amazon.
Je ne sais pas d'où cela sort car je fais très attention lors de l'installation de programmes, même si je ne peux pas exclure une distraction à un moment ou un autre. J'ai manifestement un programme qui télécharge ce msi à l'insu de mon plein gré

Aucune mention d'un programme Amazon à désinstaller, et le gestionnaire des tâches montre uniquement un service à ce nom.

J'utilise alors AdwCleaner qui ne me signale pas ce parasite mais m'en trouve d'autres. PrivDog qui est signalé s'installe je crois avec Comodo mais il y a d'autres signalements que je ne comprends pas.

Pour la petite histoire j'ai découvert que l'assembleur de mon ordinateur avait mis un SSD qui était initialement avec Windows 8 et qu'il a mis à jour en Windows 10. Ceci explique quelques bizarreries, comme le Service de Virtualisation Client qui croit toujours être sur Windows 8 (cela sert de lire les journaux de Windows !).

Même si d'après les dates des dossiers le SSD a peu servi cela m'agace quelque peu et je me demande si certains parasites ne s'expliquent pas ainsi.

Merci de ton aide.

AdwCleaner[S1].txt
-----

[chantal11]

Bonjour JPL,



/!\ Crée un point de restauration manuel /!\


--------------------------------------------------------------------------------------------------------------

AdwCleaner - Nettoyer :

• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur l'icône AdwCleaner.exe pour lancer l'outil
  /!\ Sous Vista, Windows 7, 8 et 10, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Sur le menu principal, clique sur Scanner
• Les éléments détectés s'affichent dans les différents onglets. Clique sur Nettoyer et valide par OK la fermeture des programmes
• Patiente le temps de l'analyse et valide le message d'informations
• Un redémarrage est demandé, valider par OK
• Au redémarrage, un rapport AdwCleaner(Cx).txt s'ouvre. Poste ce rapport dans ta prochaine réponse
  Le rapport se trouve sous C:\AdwCleaner\AdwCleaner(Sx).t xt (ou C:\Program Files (x86)\AdwCleaner)

Sous Internet Explorer et Edge, le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même

Si ton antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (le fichier AdwCleaner.exe est sûr)

Tutoriel d'utilisation AdwCleaner en images

En cas de perte de connexion internet après le passage de l'outil, appliquer une de ces procédures Perte de connexion internet après l'utilisation d'un outil

--------------------------------------------------------------------------------------------------------------

ZHPCleaner-Scanner :

• Télécharge ZHPCleaner de Nicolas Coolman en cliquant sur le bouton bleu "Télécharger" et enregistre-le sur le Bureau
• Ferme toutes les applications, y compris le navigateur
• Double-clique sur l'icône ZHPCleaner.exe
  /!\ Sous Vista, Windows 7, 8 et 10, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Accepte, après l'avoir lu, l'accord de licence en cliquant sur J'accepte
• Clique sur le bouton Scanner
  
• Poste le rapport obtenu ZHPCleaner.txt qui s'affiche.
  
  Sous Internet Explorer et Edge, le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même
  
  Tutoriel d'utilisation ZHPCleaner en images

--------------------------------------------------------------------------------------------------------------

Sont attendus les rapports
AdwCleaner-Nettoyer
ZHPCleaner-Scanner

@+

[JPL]

AdwCleaner[C1].txt
ZHPCleaner.txt

Je n'ai pas trouvé de rapport ZHPCleaner-Scanner mais en fouillant dans le Roaming de mon profil j'ai trouvé ZHPCleaner.txt ci-joint.

J'ai l'explication de l'assembleur sur la configuration bizarre de mon SSD. En fait il utilise un backup Acronis pour faire ses installations (validées sans problème par MS) ce qui lui facilite la vie. D'ailleurs l'ordinateur est accompagnée d'un DVD de Windows authentique. Je soupçonne dont qu'il a fait son backup à partir d'un disque où W8 avait été upgradé en W10 mais la lecture des rapports me laisse penser qu'il n'était pas très propre. En effet depuis que j'utilise Windows, ce qui remonte à très loin je n'ai jamais eu une telle collection de bestioles.

Apparemment aucune trace d'Amazon dans ces rapports.

[chantal11]

Bonjour,


Ne t’inquiète pas on trouvera AmazonButton via l'outil FRST.

Nous allons relancer ZHPCleaner en mode nettoyage, mais si tu veux conserver les DNS Comodo, pense à décocher la ligne indiquée.

--------------------------------------------------------------------------------------------------------------

ZHPCleaner-Nettoyer :

• Ferme toutes les applications, y compris le navigateur
• Double-clique sur l'icône ZHPCleaner.exe
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Clique sur le bouton Scanner et patiente le temps de l'analyse, puis clique sur le bouton Nettoyer
• L'interface de réparation s'affiche,
• Dans l'interface de réparation, onglet Registre décoche l'élément suivant's :
  TROUVÉ donnée: [X64] HKLM\SYSTEM\CurrentControlSet\ Services\Tcpip\Parameters\Inte rfaces\{483ebc21-d0e6-4efa-a36d-0bc9673e6209}\\NameServer [Bad : 156.154.70.25,156.154.71.25]
• Ensuite clique sur Nettoyer. Le nettoyage se lance
  
• Patiente le temps du nettoyage
• Si un redémarrage est nécessaire pour compléter le nettoyage, clique sur OK et redémarre le système
• Au redémarrage, le rapport de nettoyage ZHPCleaner.txt s'affiche. Poste le rapport obtenu.
  
  Sous Internet Explorer et Edge, le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même
  
  Tutoriel d'utilisation ZHPCleaner en images

--------------------------------------------------------------------------------------------------------------

Est attendu le rapport ZHPCleaner-Nettoyer

@+

[A voir en vidéo sur Futura]

[JPL]

Voila le rapport de nettoyage. Petit détail (outre qu'il n'a pas le nom que tu annonces) j'avais décoché le lien vers la page de Speedtest qui est un excellent testeur de débit de connexion et qui ne m'a jamais posé aucun problème et il a pourtant été envoyé en quarantaine.

ZHPCleaner.txt

[chantal11]

Re,

OK ... un diagnostic maintenant avec FRST :

---------------------------------------------------------------------------------------------

FRST :

• Télécharge la version FRST de Farbar, compatible avec ton système et enregistre le fichier sur ton Bureau <-- Important
  
  Pour un système en 32 bits -> FRST
  Pour un système en 64 bits -> FRST64
  Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?
  
  Patiente le temps que ton navigateur te propose le téléchargement à enregistrer, sans cliquer nulle part, surtout pas sur les sponsors de la page.
  Rappel : FRST doit être enregistré sur ton Bureau <-- Important
  
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur FRST.exe et clique sur Oui pour accepter le Disclaimer
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Sur le menu principal, clique sur Analyser et patiente le temps de l'analyse
  
• Accepte le redémarrage du système si demandé
• A la fin du scan, les rapports FRST.txt et Addition.txt sont créés. Poste ces rapports dans ta prochaine réponse.
  Les rapports sont enregistrés au même emplacement que l'outil et sous C:\FRST\Logs

Sous Internet Explorer et Edge, le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même

---------------------------------------------------------------------------------------------

Sont attendus les rapports FRST.txt et Addition.txt

@+

[JPL]

Suite de l'histoire :

FRST.txt

Addition.txt

[chantal11]

Re,

Un petit correctif pour compléter

--------------------------------------------------------------------------------------------------------------

FRST - Correctif :

• Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
• Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes
  
  
  Code:

  start
  CreateRestorePoint:
  CloseProcesses:
  R2 Amazon 1Button App Service; C:\Program Files (x86)\Amazon\Amazon1ButtonApp\Amazon1ButtonService64.Exe [436032 2016-02-17] (Amazon Inc.)
  2016-03-24 18:24 - 2016-03-24 18:24 - 00000000 ____D C:\Program Files (x86)\Amazon
  IE trusted site: HKU\.DEFAULT\...\amazon.fr -> hxxps://amazon.fr
  IE trusted site: HKU\.DEFAULT\...\webcompanion.com -> hxxp://webcompanion.com
  IE trusted site: HKU\S-1-5-21-2584601958-1246537313-1321463090-1004\...\amazon.fr -> hxxps://amazon.fr
  IE trusted site: HKU\S-1-5-21-2584601958-1246537313-1321463090-1004\...\webcompanion.com -> hxxp://webcompanion.com
  EmptyTemp:
  end

• Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur FRST64.exe
  /!\ Sous Vista, Windows 7, 8 et 10, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Sur le menu principal, clique une seule fois sur Corriger et patiente le temps de la correction
  
• Accepte le redémarrage du système si demandé
• L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\

--------------------------------------------------------------------------------------------------------------

Est attendu le rapport Fixlog

@+

[JPL]

Voilà j'espère que tout est propre maintenant.

Fixlog.txt

[chantal11]

Re,

En effet, nous pouvons finaliser.

---------------------------------------------------------------------------------------------

DelFix :

• Télécharge DelFix de Xplode et enregistre le fichier sur ton Bureau
• Double-clique sur l'icône Delfix.exe pour lancer l'outil
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Sur le menu principal, coche uniquement les options
  - Supprimer les outils de désinfection
  - Purger la restauration système
• Clique ensuite sur Exécuter et laisse l'outil travailler
  
• Un rapport DelFix.txt s'ouvre. Poste ce rapport dans ta prochaine réponse
  Le rapport se trouve sous C:\DelFix.txt

---------------------------------------------------------------------------------------------

Quelques précisions et conseils :

• D'une manière générale, il faut être prudent sur le net et ne pas cliquer sur tout ce qui paraît attrayant.
  
  /!\ Toujours privilégier le téléchargement d'une application sur le site de l'éditeur
  
  /!\ Bien lire les accords de licence avant toute installlation, des études ont montré que La France est championne du monde de malwares !
  
  /!\ Etre vigilant au moment de l'installation d'une application, Stop la pub !
  Installation d'une application sponsorisée, les pièges à éviter !
  
  /!\ Sauvegarder régulièrement les données personnelles sur un support externe
  
  /!\ Ne jamais ouvrir une pièce-jointe dans un mail d'un expéditeur inconnu
  
  
  
• Maintenir son antivrus à jour et analyser le système régulièrement, avec en parallèle un scan avec Malwarebytes
  
  
• Tenir son système à jour, au niveau des mises à jour Windows Update, sans oublier les logiciels installés.
  Vérifier aussi d'avoir toujours la dernière version de Java et Flash Player
  Il faut mettre à jour Flash Player sous chaque navigateur présent sur le système
  Penser à décocher les options proposées en même temps que Java et Flash Player (Barre Google, Scan McAfee ....)
  SX Check&Update - Vérifier et mettre à jour facilement les logiciels à risque ou son système
  
  
• Au niveau de Firefox et Chrome, tu peux sécuriser ta navigation
  
  
  /!\ Une attitude responsable sur le net est la meilleure protection pour ton système
  Eviter les comportements à risques (cracks/keygens, P2P, streaming illégal, pornographie, etc.)
  

[JPL]

Et voilà ! Merci beaucoup. Bien que l'assembleur ait de bon matériel et qu'il soit sympa je lui en veux d'avoir cloné son Windows 10 à partir d'un disque pas très propre. Dans le genre de gag par exemple j'ai tout le toutim de Nvidia alors que sur mon PC le graphisme est géré par une puce Intel. Je suis persuadé que les parasites que tu m'as aidé à nettoyer viennent pour la plupart de son installation, même si je ne peux pas exclure une distraction de ma part à un moment.

Pièce jointe 311827

J'en profite pour te demander si tu as des informations sur Unlocker qui est bien utile et que j'utilise depuis longtemps sans problème. A priori actuellement l'accès au site m'est refusé par Firefox comme contenant des programmes infectieux. Si je biaise et que je l'ouvre en prenant une voie détournée j'arrive à le télécharger Virustotal détecte un malware avec 22 antivirus sur 56 testés. Vérification faite c'est bien le même exe que celui que j'avais téléchargé et utilisé sans problème à partir de 2011. S'agit-il de faux positifs dus au fait que pour débloquer les fichiers réticents il doit forcer u peu le système ou est-ce bien une source de problèmes connus ?

VirusTotal.pdf

Merci encore.

[chantal11]

Re,

Oui, Unlocker est maintenant sponsorisé.

Ne le télécharger que si tu en as un réel besoin pour supprimer un fichier récalcitrant et lancer une analyse Malwarebytes ensuite, après utilisation.


..... Bonne continuation sur ton nouveau PC