Infections par PandoMediabooster et GDIPFONTCACHENTV1 ?

[invite2cd2ad0e]

Bonjour à vous ,

J'avais préalablement parcouru la toile à la recherche d'informations sur ces deux fichiers , malheureusement je n'ai rien trouvé
de très concret . Par contre j'ai eu l'occasion de connaître votre forum. (je raconte ma vie.com)

En faisant un peu le ménage (superficiel vraiment , car l'informatique et surtout la désinfection , j'y connais rien) : mon ordinateur était très lent
au démarrage , après l'ouverture de session utilisateur .

Je me suis aperçu qu'il y avait un programme bizarre - PandomediaBooster -qui s'est intégré à mon panneau de configuration , je ne sais pas comment ça se fait que je l'ai eu , et surtout comment est-ce que je peux m'en débarasser ?

J'ai vu aussi qu'il y avait un fichier , qui s'était mis dans appdata/local et qui s'apelle GDIPFONTCACHENTV1 , alors la je me demande aussi ce que c'est
car les informations sont peu claires , est-ce un fichier windows ? est-ce un malware ? J'en sais fichtrement rien .

Du coup je m'en remets à vous pour savoir ce que je peux donc bien faire

A bientôt.
-----

[chantal11]

Bonjour et bienvenue sur Futura-Sciences.

Désinstalle PandomediaBooster via le Panneau de configuration -> Programmes et fonctionnalités.

Ensuite passe cet outil :

---------------------------------------------------------------------------------------------

AdwCleaner - Recherche :

• Sur cette page AdwCleaner de Xplode , clique sur Télécharger et enregistre le fichier sur ton Bureau
• Double-clique sur l'icône AdwCleaner.exe pour lancer l'installation
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  Sous IE9, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même
• Sur le menu principal, clique sur Recherche et patiente le temps de l'analyse
• A la fin du scan, un rapport AdwCleaner(R).txt s'ouvre. Poste ce rapport dans ta prochaine réponse
  Le rapport se trouve sous C:\AdwCleaner(R).txt

Tutoriel d'utilisation AdwCleaner en images

---------------------------------------------------------------------------------------------

Est attendu le rapport AdwCleaner(R).txt en pièce-jointe.

@+

[invite2cd2ad0e]

Merci pour votre réactivité

Voila le rapport d'adwcleaner.

[chantal11]

Re,

OK pour le mode Recherche.

---------------------------------------------------------------------------------------------

AdwCleaner - Suppression :

• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur l'icône AdwCleaner.exe pour lancer l'installation
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Sur le menu principal, clique sur Suppression et patiente le temps de l'analyse
• A la fin du scan, un rapport AdwCleaner(S).txt s'ouvre. Poste ce rapport dans ta prochaine réponse
  Le rapport se trouve sous C:\AdwCleaner(S).txt

Tutoriel d'utilisation AdwCleaner en images

---------------------------------------------------------------------------------------------

Nous allons ensuite établir un diagnostic avec cet outil, suis bien les instructions indiquées :

OTL :

• Télécharge OTL de OldTimer et enregistre le sur le Bureau
• Ferme toutes les autres fenêtres et double-clique sur OTL.exe
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Coche la case Tous les utilisateurs
• Dans le cadre Personnalisation, copie-colle l'intégralité de ce qui suit (Sélectionner -> Clic-droit -> Copier)
  
  Code:

  msconfig
  /md5start
  explorer.exe
  wininit.exe
  winlogon.exe
  userinit.exe
  svchost.exe
  services.exe
  /md5stop
  %SYSTEMDRIVE%\*.exe
  %ALLUSERSPROFILE%\Application Data\*.
  %ALLUSERSPROFILE%\Application Data\*.exe /s
  %APPDATA%\*.
  %APPDATA%\*.exe /s
  %systemroot%\*. /mp /s
  %systemroot%\Tasks\*.* /s
  %systemroot%\system32\*.dll /lockedfiles
  %systemroot%\Tasks\*.job /lockedfiles
  %systemroot%\system32\drivers\*.sys /lockedfiles
  CREATERESTOREPOINT

• Clique ensuite sur Analyse et patiente le temps du scan
  
  
  
• A la fin de l'analyse, les rapports OTL.txt et Extras.txt s'affichent. Poste ces rapports dans ta prochaine réponse.
  Les rapports sont sauvegardés sur le Bureau.

----------------------------------------------------------------------------------------------

Sont attendus les rapports en PJ :

• AdwCleaner(S).txt
• OTL.txt et Extras.txt

@+

[A voir en vidéo sur Futura]

[invite2cd2ad0e]

Re

Voici les rapports de correction d'adwcleaner et d'analyse OTL , ainsi que l'extra.

A bientôt.

[chantal11]

Re,

OK pour les rapports.

----------------------------------------------------------------------------------------------

OTL :

• Ferme toutes les autres fenêtres et double-clique sur OTL.exe
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Copie l'intégralité de ce script ci-dessous (y compris la 1ère ligne :OTL) (Sélectionner -> Clic-droit -> Copier)
  
  Code:

  :OTL
  FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
  FF - HKCU\Software\MozillaPlugins\pandonetworks.com/PandoWebPlugin: C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
  O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
  O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
  MsConfig:64bit - StartUpFolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^FancyStart daemon.lnk -  - File not found
  MsConfig:64bit - StartUpFolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk -  - File not found
  MsConfig:64bit - StartUpReg: CLMLServer - hkey= - key= -  File not found
  MsConfig:64bit - StartUpReg: DAEMON Tools Lite - hkey= - key= -  File not found
  MsConfig:64bit - StartUpReg: GoogleDriveSync - hkey= - key= -  File not found
  [2013/02/04 23:52:04 | 000,000,000 | ---D | C] -- C:\ZHP
  [1 C:\Users\olivier\Documents\*.tmp files -> C:\Users\olivier\Documents\*.tmp -> ]
  [2013/02/05 00:10:41 | 000,021,358 | ---- | M] () -- C:\Users\olivier\Documents\ZHPDiag2
  
  :files
  ipconfig /flushdns /c
  
  :Commands
  [EMPTYTEMP]
  [CREATERESTOREPOINT]

• Colle l'intégralité du script dans le cadre Personnalisation
• Clique ensuite sur le bouton Correction
  
  
  
• L'outil lance la suppression, ne pas l'interrompre
• Si l'outil te demande de redémarrer le PC, tu acceptes
• Poste le rapport situé dans C:\_OTL\MovedFiles\********_** ****.log dans ta prochaine réponse
  les *** sont des chiffres représentant la date [MoisJourAnnée] et l'heure

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

----------------------------------------------------------------------------------------------

Nous allons aussi vérifier les extensions/plugins à risque :

SX Check&Update :

• Télécharge SX Check&Update de igor51 et enregistre-le sur ton Bureau
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur SXC&U.exe pour lancer l'application
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Au menu principal, clique sur le bouton Rapport
• Poste le rapport rapport_SX.txt dans ta prochaine réponse.

Si ton antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (le fichier SXC&U.exe est sûr)

---------------------------------------------------------------------------------------------

Sont attendus les rapports en PJ :

• C:\_OTL\MovedFiles\********_** ****.log
• rapport_SX.txt

@+

[invite2cd2ad0e]

Re

Je ne peux que vous transmettre le rapport de correction OTL ,
j'ai oublié que j'avais mis un mdp sur mon antivirus -_- , du coup sxcu reste bloquer.

Quelle est la procédure pour le désinstaller ?

[invite2cd2ad0e]

Mon antivirus c'est avast .

[chantal11]

Bonjour,

OK pour le rapport de correction OTL.

Pour SXCU, soit tu désactives temporairement Avast pour cet outil, qui je le répète est totalement sûr (il a été développé par un membre de la Team de Futura-Sciences), soit tu l'autorises dans la SandBox par "Lancer normalement" et cocher "Se souvenir de mon choix"

sandbox.png

[invite2cd2ad0e]

Re

J'ai le rapport sxcu , je le mets en pièces jointes.

a plus

[chantal11]

Bonjour,

C'est parfait


Nous allons pouvoir finaliser la procédure.

---------------------------------------------------------------------------------------------

Purge points de restauration :

• Ferme toutes les autres fenêtres et double-clique sur OTL.exe
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Copie l'intégralité de ce script ci-dessous
  
  Code:

  :Commands
  [CLEARALLRESTOREPOINTS]
  [EMPTYTEMP]

• Colle l'intégralité du code dans le cadre Personnalisation
• Clique ensuite sur le bouton Correction
• Si l'outil te demande de redémarrer le PC, tu acceptes

---------------------------------------------------------------------------------------------

Désinstallation des outils utilisés :

• Ferme toutes les autres fenêtres et double-clique sur OTL.exe
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Clique sur Purge d'outils
  
  
  
• Valide l'avertissement par OK et laisse le pc redémarrer

• Relance AdwCleaner et clique sur Désinstaller
• Supprime SXCU de ton Bureau
• Supprime tous les rapports générés restants

---------------------------------------------------------------------------------------------

Quelques précisions et conseils :

• D'une manière générale, il faut être prudent sur le net et ne pas cliquer sur tout ce qui paraît attrayant.
  Pourquoi et comment je me fais infecter ?
  
  /!\ Toujours privilégier le téléchargement d'une application sur le site de l'éditeur
  
  /!\ Bien lire les accords de licence avant toute installlation, des études ont montré que La France est championne du monde de malwares !
  
  /!\ Etre vigilant au moment de l'installation d'une application, Stop la pub !
  
  /!\ Sauvegarder régulièrement les données personnelles sur un support externe
  
  /!\ Ne jamais ouvrir une pièce-jointe dans un mail d'un expéditeur inconnu
  
  
• Maintenir son antivrus à jour et analyser le système régulièrement, avec en parallèle un scan avec Malwarebytes
  
  
• Tenir son système à jour, au niveau des mises à jour Windows Update, sans oublier les logiciels installés.
  Vérifier aussi d'avoir toujours la dernière version de Java et Flash Player
  Il faut l'installer Flash Player sous chaque navigateur présent sur le système
  Penser à décocher les options proposées en même temps que Java et Flash Player (Barre Google, Scan McAfee ....
  Maintenir Java, Adobe Reader et le player Flash à jour
  Exploitation SWF/PDF et Java - système non à jour = danger
  
  
• Au niveau de Firefox et Chrome, tu peux sécuriser ta navigation
  
  
  /!\ Une attitude responsable sur le net est la meilleure protection pour ton système
  Eviter les comportements à risques (cracks/keygens, P2P, streaming illégal, pornographie, etc.)
  

N'hésite pas si tu as des questions.

Pour en savoir plus, clique sur l'image pour télécharger ce PDF

[invite2cd2ad0e]

Merci pour l'aide et la désinfection !

Pourtant comment se fait-il que j'ai toujours l'icône Pandomediabooster sur mon panneau de configuration ? est-ce normal ?

Que disaient les rapports au fait ? car je ne sais pas trop lire les rapports de scan . . .

A bientôt.

[chantal11]

Bonjour,

Pourtant comment se fait-il que j'ai toujours l'icône Pandomediabooster sur mon panneau de configuration ? est-ce normal ?

C'est-à-dire ?
Cette icône apparaît à quel endroit.
Fais une capture au besoin.

Je t'avais demandé de désinstaller Pandomediabooster via Programmes et fonctionnalités et apparemment tu l'avais bien fait, puisqu'il n'apparaît pas dans la liste des applications dans le rapport Extras.

Que disaient les rapports au fait ? car je ne sais pas trop lire les rapports de scan . . .

Nous avons nettoyé les restes de Pandomediabooster qui apparaissaient dans le rapport et quelques lignes inutiles.

@+

[invite2cd2ad0e]

Re ,

C'est ce que j'ai fait oui , mais l'icône est toujours présente dans le panneau de configuration .
Je mets un impr.ecr en pj

A plus .

[chantal11]

Bonjour,

Et si tu cliques sur l'icône Pando Media Booster, il se passe quoi ?

@+