Infection probable, merci de votre aide...

[invitea5cad2e4]

Bonjour,

En vacances chez mes parents, je découvre leur ordinateur sans doute infesté : fenêtres et/ou onglets Firefox s'ouvrant intempestivement avec toujours la même pub (url : ww3.lagunabeachmtv.com), flash player qui plante, Open Office qui s'ouvre au démarrage, etc.

J'ai supprimé les fichiers temporaires et corrigé les erreurs du registre avec CCleaner, actualisé l'antivirus, corrigé quelques erreurs trouvées par Spybot... sans résultats concluants.

Je m'en remets à votre expertise... Merci d'avance !!
-----

[chantal11]

Bonjour,

Nous allons regarder ton souci ensemble.

---------------------------------------------------------------------------------------------

Désinstalle via Panneau de configuration -> Programmes et fonctionnalités (si présents) :

AOL Toolbar (inutile)
McAfee Security Scan Plus (inutile, tu as Avast)
PC Speed Maximizer (outil d'optimisation sponsorisé et dangereux pour ton système)
Spybot - Search & Destroy (obsolète, utilise une technologie dépassée)
Viewpoint Media Player (adware)
Bywifi (adware)

Si un programme ne veut pas se désinstaller, tu passes au suivant.

---------------------------------------------------------------------------------------------

AdwCleaner - Suppression :

• Sur cette page, télécharge AdwCleaner de Xplode en cliquant sur le bouton Télécharger et enregistre le fichier sur ton Bureau
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur l'icône AdwCleaner.exe pour lancer l'installation
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  Sous IE9, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même
• Sur le menu principal, clique sur Suppression et patiente le temps de l'analyse
• A la fin du scan, un rapport AdwCleaner(S).txt s'ouvre. Poste ce rapport dans ta prochaine réponse
  Le rapport se trouve sous C:\AdwCleaner(S).txt

Tutoriel d'utilisation AdwCleaner en images

---------------------------------------------------------------------------------------------

Malwarebytes Anti-Malware :

• Télécharge Malwarebytes Anti-Malware et enregistre le sur le Bureau
• Double-clique sur le fichier mbam-setup.exe pour lancer l'installation
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• A la fin de l'installation, veille à ce que l'option Mettre à jour Malwarebytes' Anti-Malware soit cochée
• Clique sur Terminer
• Lance Malwarebyte's en double-cliquant sur l'icône sur le bureau
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Les Mises à jour se téléchargent, puis ouvre Malwarebyte's
• Dans l'onglet Paramètres, puis Paramètres d'examen, sélectionne Afficher dans les résultats, pré-coché pour suppression pour les 2 actions Programmes potentiellement indésirables (PUP) et Modifications potentiellement indésirables (PUM)
• Dans l'onglet Recherche, coche Exécuter un examen complet puis clique sur Rechercher
• Sélectionne ton disque dur, puis clique sur Lancer l'examen
• A la fin du scan, clique sur Afficher les résultats
• Pour supprimer les éléments détectés, clique sur Supprimer la sélection
• Si un redémarrage est demandé, clique sur Yes
• Le rapport mbam-log[date-heure].txt s'ouvre. Poste ce rapport dans ta prochaine réponse

Tutoriel d'utilisation Mawarebytes en images

----------------------------------------------------------------------------------------------

Sont attendus les rapports :

• AdwCleaner(S).txt
• mbam-log[date-heure].txt

@+

[invitea5cad2e4]

Merci beaucoup pour ton intervention rapide Chantal !

Ci-joint les deux rapports demandés.

A noter que depuis la désinstallation des programmes puis l'action de AdwCleaner, il n'y a plus eu de fenêtres intempestives sous Firefox...

[chantal11]

Re,

A noter que depuis la désinstallation des programmes puis l'action de AdwCleaner, il n'y a plus eu de fenêtres intempestives sous Firefox...

C'est une bonne nouvelle

Nous allons maintenant contrôler le système avec cet outil pour supprimer les résidus.

----------------------------------------------------------------------------------------------

OTL :

• Télécharge OTL de OldTimer et enregistre le sur le Bureau
• Ferme toutes les autres fenêtres et double-clique sur OTL.exe
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Coche la case Tous les utilisateurs
• Dans le cadre Personnalisation, copie-colle l'intégralité de ce qui suit (Sélectionner -> Clic-droit -> Copier)
  
  Code:

  msconfig
  /md5start
  explorer.exe
  wininit.exe
  winlogon.exe
  userinit.exe
  svchost.exe
  services.exe
  /md5stop
  %SYSTEMDRIVE%\*.exe
  %ALLUSERSPROFILE%\Application Data\*.
  %ALLUSERSPROFILE%\Application Data\*.exe /s
  %APPDATA%\*.
  %APPDATA%\*.exe /s
  %systemroot%\*. /mp /s
  %systemroot%\Tasks\*.* /s
  %systemroot%\system32\*.dll /lockedfiles
  %systemroot%\Tasks\*.job /lockedfiles
  %systemroot%\system32\drivers\*.sys /lockedfiles
  hklm\software\clients\startmenuinternet|command /rs
  hklm\software\clients\startmenuinternet|command /64 /rs
  CREATERESTOREPOINT

• Clique ensuite sur Analyse et patiente le temps du scan
  
  
  
• A la fin de l'analyse, les rapports OTL.txt et Extras.txt s'affichent. Poste ces rapports en PJ.
  Les rapports sont sauvegardés sur le Bureau.

----------------------------------------------------------------------------------------------

Sont attendus les rapports OTL.txt et Extras.txt

@+

[A voir en vidéo sur Futura]

[invitea5cad2e4]

Voici les logs demandés

Merci encore et à demain pour la suite ?

[chantal11]

Bonjour,

Une petite précision : c'est bien tes parents qui ont paramétré un proxy sous Internet Explorer et Firefox ?

On continue :

----------------------------------------------------------------------------------------------

OTL :

• Ferme toutes les autres fenêtres et double-clique sur OTL.exe
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Copie l'intégralité de ce script ci-dessous (y compris la 1ère ligne :OTL) (Sélectionner -> Clic-droit -> Copier)
  
  Code:

  :OTL
  IE - HKU\S-1-5-21-3345260433-48570298-2257553868-1000\..\SearchScopes\{1984236F-761A-40AF-AE54-B0DB56674F3E}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=fr_FR&apn_ptnrs=U3&apn_dtid=OSJ000YYFR&apn_uid=2301F8A1-9E0B-4E12-861F-860533FF2759&apn_sauid=3574B083-DD04-4E3A-A621-CF4B3376A9A0
  FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21
  FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23
  FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
  FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}:6.0.26
  O3 - HKLM\..\Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
  O3 - HKU\S-1-5-21-3345260433-48570298-2257553868-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
  O33 - MountPoints2\{0ab85aed-4782-11de-bf64-001eecb5c336}\Shell - "" = AutoRun
  O33 - MountPoints2\{0ab85aed-4782-11de-bf64-001eecb5c336}\Shell\AutoRun\command - "" = G:\LaunchU3.exe -a
  O33 - MountPoints2\{1a3df0f6-74f2-11de-9ad5-001eecb5c336}\Shell\AutoRun\command - "" = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL antihost.exe
  O33 - MountPoints2\{1a3df0f9-74f2-11de-9ad5-001eecb5c336}\Shell - "" = AutoRun
  O33 - MountPoints2\{1a3df0f9-74f2-11de-9ad5-001eecb5c336}\Shell\AutoRun\command - "" = G:\LaunchU3.exe -a
  O33 - MountPoints2\{27bcf073-3f4b-11e1-a94d-001eecb5c336}\Shell\AutoRun\command - "" = driver\usb\runme.exe
  O33 - MountPoints2\{27bcf073-3f4b-11e1-a94d-001eecb5c336}\Shell\open\command - "" = driver\usb\runme.exe
  O33 - MountPoints2\{704b3dd7-ad74-11e1-9b5c-001eecb5c336}\Shell\AutoRun\command - "" = s1.exe
  O33 - MountPoints2\{704b3dd7-ad74-11e1-9b5c-001eecb5c336}\Shell\open\Command - "" = s1.exe
  MsConfig - StartUpFolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk -  - File not found
  MsConfig - StartUpReg: EA Core - hkey= - key= -  File not found
  MsConfig - StartUpReg: SPMTray - hkey= - key= -  File not found
  2 C:\*.tmp files -> C:\*.tmp -> ]
  [1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
  
  :files
  ipconfig /flushdns /c
  
  :Commands
  [EMPTYTEMP]
  [CREATERESTOREPOINT]

• Colle l'intégralité du script dans le cadre Personnalisation
• Clique ensuite sur le bouton Correction
  
  
  
• L'outil lance la suppression, ne pas l'interrompre
• Si l'outil te demande de redémarrer le PC, tu acceptes
• Poste le rapport situé dans C:\_OTL\MovedFiles\********_** ****.log dans ta prochaine réponse
  les *** sont des chiffres représentant la date [MoisJourAnnée] et l'heure

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

----------------------------------------------------------------------------------------------

USBFix - Recherche :

• Télécharge UsbFix de El Desaparecido et enregistre-le sur ton Bureau
  Autre lien de téléchargement USBFix
• /!\ Important -> Branche tous les périphériques externes (clés, disques durs ....)
• Double-clique sur UsbFix sur ton Bureau
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Clique sur l'option Recherche et laisse l'outil analyser ton système
• La recherche se lance
• Le rapport UsbFix.txt s'affiche. Poste le contenu du rapport dans ta prochaine réponse
  Le rapport se trouve sous C:\UsbFix.txt
  
  Si le Bureau ne réapparait pas, presse Ctrl+Alt+Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide

---------------------------------------------------------------------------------------------

Sont attendus les rapports :

• C:\_OTL\MovedFiles\********_** ****.log
• UsbFix.txt

@+

[invitea5cad2e4]

Bonjour,
Je ne sais pas qui a paramétré un proxy... cet ordinateur voit passer beaucoup trop de monde et mon père n'en sait rien non plus (sigh)
J'ai lancé OTL et copié le script, au bout de 5 min l'application "ne répond pas", et ça fait un quart d'heure... que faire ?

[chantal11]

Re,

Si tu as la main sur le système, referme OTL et redémarre Mode sans échec avec prise en charge du réseau pour appliquer le correctif OTL.

Mais au vu des derniers éléments, nous allons modifier le script de correction, pour traiter aussi le proxy, je te remets donc ci-dessous le nouveau script OTL à copier-coller dans le cadre Personnalisation :

Code:

:OTL
IE - HKU\S-1-5-21-3345260433-48570298-2257553868-1000\..\SearchScopes\{1984236F-761A-40AF-AE54-B0DB56674F3E}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=fr_FR&apn_ptnrs=U3&apn_dtid=OSJ000YYFR&apn_uid=2301F8A1-9E0B-4E12-861F-860533FF2759&apn_sauid=3574B083-DD04-4E3A-A621-CF4B3376A9A0
IE - HKU\S-1-5-21-3345260433-48570298-2257553868-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "AutoConfigURL" = http://localhost:9000/proxy.pac
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}:6.0.26
FF - prefs.js..network.proxy.autoconfig_url: "http://localhost:9000/proxy.pac"
FF - prefs.js..network.proxy.type: 2
O3 - HKLM\..\Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O3 - HKU\S-1-5-21-3345260433-48570298-2257553868-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O33 - MountPoints2\{0ab85aed-4782-11de-bf64-001eecb5c336}\Shell - "" = AutoRun
O33 - MountPoints2\{0ab85aed-4782-11de-bf64-001eecb5c336}\Shell\AutoRun\command - "" = G:\LaunchU3.exe -a
O33 - MountPoints2\{1a3df0f6-74f2-11de-9ad5-001eecb5c336}\Shell\AutoRun\command - "" = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL antihost.exe
O33 - MountPoints2\{1a3df0f9-74f2-11de-9ad5-001eecb5c336}\Shell - "" = AutoRun
O33 - MountPoints2\{1a3df0f9-74f2-11de-9ad5-001eecb5c336}\Shell\AutoRun\command - "" = G:\LaunchU3.exe -a
O33 - MountPoints2\{27bcf073-3f4b-11e1-a94d-001eecb5c336}\Shell\AutoRun\command - "" = driver\usb\runme.exe
O33 - MountPoints2\{27bcf073-3f4b-11e1-a94d-001eecb5c336}\Shell\open\command - "" = driver\usb\runme.exe
O33 - MountPoints2\{704b3dd7-ad74-11e1-9b5c-001eecb5c336}\Shell\AutoRun\command - "" = s1.exe
O33 - MountPoints2\{704b3dd7-ad74-11e1-9b5c-001eecb5c336}\Shell\open\Command - "" = s1.exe
MsConfig - StartUpFolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk -  - File not found
MsConfig - StartUpReg: EA Core - hkey= - key= -  File not found
MsConfig - StartUpReg: SPMTray - hkey= - key= -  File not found
2 C:\*.tmp files -> C:\*.tmp -> ]
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]

:files
ipconfig /flushdns /c

:Commands
[EMPTYTEMP]
[CREATERESTOREPOINT]

Ensuite tu redémarres en mode normal et tu enchaînes sur l'analyse avec USBFix.

@+

[invitea5cad2e4]

Je n'ai pas pu redémarrer sans échec, la seule possibilité était de restaurer le système, résultat j'ai du repartir du début... mais impossible désormais de supprimer Spybot, le fichier de désinstallation est manquant...
Je vais essayer le mode sans échec maintenant.

[invitea5cad2e4]

Même chose en mode sans échec : OTL se bloque et puis plus rien...

[invitea5cad2e4]

(désolée, ça partait bien pourtant... et merci de ta patience...)
(faut-il que je reposte des logs (ceux attendus exceptés puisque OTL se bloque...)
(j'avoue que là je suis un peu perdue...)

[chantal11]

Re,

On va faire le contraire alors.

Lance USBFix en 1er, en suivant les consignes indiquées pour la procédure et poste le rapport de recherche.

@+

[invitea5cad2e4]

Re,

Voici le rapport de UsbFix.
J'ai remarqué aussi un dossier _OTL à la racine de C, qui contient un dossier "MovedFiles", qui contient deux dossiers (mes sessions avortées avec OTL je pense) lesquels contiennent chacun le même C_Windows/pps/McAfee Security Scan Plus.lnk.CommonStartup - je ne sais pas si ça peut aider.

Merci encore...

Sophie

[chantal11]

Re,

Alors justement, si tu as 2 dossiers sous C:\_OTL\MovedFiles, tu devrais y retrouver 2 rapports du type ********_******.log

Poste ces rapports en PJ si tu les as bien.

Pour USBFix, tu as bien connecté tous les supports amovibles ?
Nous avions un lecteur G sur le rapport OTL, c'est lui qui est infecté.

En parallèle peux-tu faire cette petite procédure :

---------------------------------------------------------------------------------------------

VirusTotal :

• Pour afficher les fichiers et dossiers cachés -> dans Options des dossiers -> onglet Affichage ->
• coche la case Afficher les fichiers et dossiers cachés
• décoche la case Masquer les extensions des fichiers dont le type est connu
• décoche la case Masquer les fichiers protégés du système d'exploitation
• Clique sur Appliquer

• Ouvre cette page VirusTotal
• Clique sur Choose File et cherche ce fichier C:\ProgramData\QuickTimeInstal ler.exe
• Clique sur Scan It et patiente le temps de l'analyse
• Si le fichier a déjà été analysé, clique sur Reanalyse
• Un rapport apparaît. Indique le lien de la page de l'analyse en copiant-collant l'url affichée dans la barre d'adresse, dans ta prochaine réponse

Important : Recoche la case Masquer les fichiers protégés du système d'exploitation dans les Options des dossiers -> onglet Affichage

---------------------------------------------------------------------------------------------

Sont attendus les 2 rapports C:\_OTL\MovedFiles\********_** ****.log ainsi que le lien VirusTotal.

@+

[invitea5cad2e4]

Re,

Je n'ai pas de fichiers de logs sous _OTL/MovedFiles, juste deux fois un fichier McAfee Security Scan Plus.lnk.CommonStartup

Pour USBFix, j'avais branché en plus le HD externe (qui n'était pas branché quand j'avais fait le rapport OTL), mais il était identifié en lecteur F... aucun lecteur G nulle part, bizarre... (est-ce que tu sais à quoi ce lecteur G semblait correspondre ?)

voici le lien VirusTotal : https://www.virustotal.com/fr/file/f...is/1365179384/

@+

[invitea5cad2e4]

PS : hypothèse peut-être idiote (je suis utilisatrice de Mac depuis 3 ans, je n'y connais plus grand chose à Windows ) : est-il possible que le lecteur G soit par exemple un lecteur virtuel "monté" à partir du profil "Invité" qu'utilise mon fils lorsqu'il se sert de l'ordinateur de mes parents (et c'est un joueur, donc il télécharge beaucoup de programmes et autres plugins...) ?

[chantal11]

Re,

Non, je ne pense pas, le lecteur virtuel ne crée pas normalement ce type de clés dans le Base de registre.

OK pour le lien VirusTotal.

On va recontrôler le système avec OTL, à mon avis, une partie de la correction s'est effectuée.

OTL :

• Ferme toutes les autres fenêtres et double-clique sur OTL.exe
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Coche la case Tous les utilisateurs
• Dans le cadre Personnalisation, copie-colle l'intégralité de ce qui suit (Sélectionner -> Clic-droit -> Copier)
  
  Code:

  msconfig
  /md5start
  explorer.exe
  wininit.exe
  winlogon.exe
  userinit.exe
  svchost.exe
  services.exe
  /md5stop
  %SYSTEMDRIVE%\*.exe
  %ALLUSERSPROFILE%\Application Data\*.
  %ALLUSERSPROFILE%\Application Data\*.exe /s
  %APPDATA%\*.
  %APPDATA%\*.exe /s
  %systemroot%\*. /mp /s
  %systemroot%\Tasks\*.* /s
  %systemroot%\system32\*.dll /lockedfiles
  %systemroot%\Tasks\*.job /lockedfiles
  %systemroot%\system32\drivers\*.sys /lockedfiles
  hklm\software\clients\startmenuinternet|command /rs
  hklm\software\clients\startmenuinternet|command /64 /rs
  CREATERESTOREPOINT

• Clique ensuite sur Analyse et patiente le temps du scan
  
  
  
• A la fin de l'analyse, le rapport OTL.txt s'affiche. Poste ce rapport en PJ.
  Le rapport est sauvegardé sur le Bureau.

Par contre, je ne pourrais regarder le rapport que demain matin.

@+

[invitea5cad2e4]

Bonsoir,

Voici le rapport OTL...

Bonne soirée et merci !!!

NB : sais-tu s'il y a un moyen de "réinitialiser" le compte Invité ?

[chantal11]

Bonjour,

OK pour le rapport OTL.
En fait l'outil a pratiquement fait le boulot.
Il reste juste encore ceci à corriger.

----------------------------------------------------------------------------------------------

OTL :

• Ferme toutes les autres fenêtres et double-clique sur OTL.exe
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Copie l'intégralité de ce script ci-dessous (y compris la 1ère ligne :OTL) (Sélectionner -> Clic-droit -> Copier)
  
  Code:

  :OTL
  SRV - File not found [Auto | Running] -- C:\Program Files\Spybot -- (SBSDWSCService)
  [2 C:\*.tmp files -> C:\*.tmp -> ]
  
  :Commands
  [EMPTYTEMP]
  [CREATERESTOREPOINT]

• Colle l'intégralité du script dans le cadre Personnalisation
• Clique ensuite sur le bouton Correction
  
  
  
• L'outil lance la suppression, ne pas l'interrompre
• Si l'outil te demande de redémarrer le PC, tu acceptes
• Poste le rapport situé dans C:\_OTL\MovedFiles\********_** ****.log dans ta prochaine réponse
  les *** sont des chiffres représentant la date [MoisJourAnnée] et l'heure

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

----------------------------------------------------------------------------------------------

Pour le compte Invité, il te faut le désactiver dans Panneau de configuration -> Comptes utilisateurs
Cela devrait le réinitialiser.

@+

[invitea5cad2e4]

Bonjour,

Voici le log OTL

Merci !!

[chantal11]

Re,

C'est parfait !

Comment se comporte le système maintenant ?

---------------------------------------------------------------------------------------------

Désinstalle Java(TM) 6 Update 22 et Java(TM) 6 Update 29 via Panneau de configuration -> Programmes et fonctionnalités.

Installe la dernière version Java 7 Update 17
http://www.java.com/fr/download/

Pense à décocher la barre Ask qui est proposée


---------------------------------------------------------------------------------------------

Mets à jour Firefox :

Télécharge et installe cette dernière version Firefox ou mets à jour directement via Firefox -> Aide -> A propos de Firefox

---------------------------------------------------------------------------------------------

Si tu confirmes que le système se comporte bien, nous pourrons finaliser la procédure.

@+

[invitea5cad2e4]

Re,

Java et Firefox sont mis à jour.
Le système se comporte bien, plus de surprises intempestives... juste Avast qui est a priori passé en version pro alors que d'après mon père il utilisait la version Free (et souhaite continuer à ne pas payer...)

Je pense que l'on peut finaliser. Par ailleurs, si tu as des conseils à me donner pour installer des protections & co, je suis preneuse (je lui ai déjà dit de ne pas installer n'importe quoi, de vérifier toutes les options lors d'installations de programmes...)

Merci !

[invitea5cad2e4]

PS : et spybot est toujours dans la liste des programmes, comment puis-je le désinstaller alors que le fichier de désinstallation est manquant ?

[chantal11]

Re,

OK

Pour Spybot, on va refaire un script :

----------------------------------------------------------------------------------------------

OTL :

• Ferme toutes les autres fenêtres et double-clique sur OTL.exe
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Copie l'intégralité de ce script ci-dessous (y compris la 1ère ligne :OTL) (Sélectionner -> Clic-droit -> Copier)
  
  Code:

  :reg
  [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\"Spybot - Search & Destroy"]
  
  :Commands
  [EMPTYTEMP]
  [CLEARALLRESTOREPOINTS]

• Colle l'intégralité du script dans le cadre Personnalisation
• Clique ensuite sur le bouton Correction
  
  
  
• L'outil lance la suppression, ne pas l'interrompre
• Si l'outil te demande de redémarrer le PC, tu acceptes
• Poste le rapport situé dans C:\_OTL\MovedFiles\********_** ****.log dans ta prochaine réponse
  les *** sont des chiffres représentant la date [MoisJourAnnée] et l'heure

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

----------------------------------------------------------------------------------------------

Désinstallation des outils utilisés :

Tu peux garder Malwarebytes et scanner ton système régulièrement avec en complément des analyses de ton antivirus.
Ne pas oublier toutefois, avant de lancer l'analyse, de faire une recherche de mises à jour de Malwarebytes, dans l'onglet Mise à jour

• Ferme toutes les autres fenêtres et double-clique sur OTL.exe
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Clique sur Purge d'outils
  
  
  
• Valide l'avertissement par OK et laisse le pc redémarrer

• Relance AdwCleaner et clique sur Désinstaller
• Relance USBFix et clique sur Désinstaller
• Supprime tous les rapports générés restants

---------------------------------------------------------------------------------------------

Quelques précisions et conseils :

• D'une manière générale, il faut être prudent sur le net et ne pas cliquer sur tout ce qui paraît attrayant.
  Pourquoi et comment je me fais infecter ?
  
  /!\ Toujours privilégier le téléchargement d'une application sur le site de l'éditeur
  
  /!\ Bien lire les accords de licence avant toute installlation, des études ont montré que La France est championne du monde de malwares !
  
  /!\ Etre vigilant au moment de l'installation d'une application, Stop la pub !
  
  /!\ Sauvegarder régulièrement les données personnelles sur un support externe
  
  /!\ Ne jamais ouvrir une pièce-jointe dans un mail d'un expéditeur inconnu
  
  
  
• Maintenir son antivrus à jour et analyser le système régulièrement, avec en parallèle un scan avec Malwarebytes
  
  
• Tenir son système à jour, au niveau des mises à jour Windows Update, sans oublier les logiciels installés.
  Vérifier aussi d'avoir toujours la dernière version de Java et Flash Player
  Il faut mettre à jour Flash Player sous chaque navigateur présent sur le système
  Penser à décocher les options proposées en même temps que Java et Flash Player (Barre Google, Scan McAfee ....
  Maintenir Java, Adobe Reader et le player Flash à jour
  Exploitation SWF/PDF et Java - système non à jour = danger
  
  
• Au niveau de Firefox et Chrome, tu peux sécuriser ta navigation
  
  
  /!\ Une attitude responsable sur le net est la meilleure protection pour ton système
  Eviter les comportements à risques (cracks/keygens, P2P, streaming illégal, pornographie, etc.)
  

N'hésite pas si tu as des questions.

Pour en savoir plus, clique sur l'image pour télécharger ce PDF

[invitea5cad2e4]

Re,

Bon visiblement OTL et Windows sont en froid quand il s'agit de CORRECTION... gros plantage quand j'ai saisi le script pour désinstaller Spybot, OTL ne répond plus, plus la main sur rien, obligée de restaurer etc.
Bref.
je lance le reste, et tant pis pour Spybot en résidu...

(juste si tu as une idée pour "revenir" à Avast - free version ?)

En tous cas, MERCI beaucoup, pour tout.

[chantal11]

Bonjour,

Qu'entends-tu par "obligée de restaurer" ?

Tu as restauré le système à un point antérieur ?
Quel point ?

Quand OTL bloque lors de la correction, il te suffit juste de forcer l'arrêt du système et redémarrer.
Dans la plupart des cas, l'outil a quand même fait le boulot.

juste si tu as une idée pour "revenir" à Avast - free version ?

Tout simplement désinstaller la version Avast installée, redémarrer le système, télécharger la dernière version gratuite avast! et l'installer

[invitea5cad2e4]

Cet ordinateur refuse de redémarrer lorsqu'on force l'arrêt du système : Windows ne se lance pas et il faut passer par l'outil de réparation...
Du coup oui, restauration... au point créé après l'installation de Java 7.

Je vais essayer de désinstaller Avast... le problème est que la version installée est sensée être la version gratuite, mais visiblement pas

[chantal11]

Re,

Cet ordinateur refuse de redémarrer lorsqu'on force l'arrêt du système : Windows ne se lance pas et il faut passer par l'outil de réparation...

Situation anormale.
Et tu n'as pas d'autres choix que la restauration ?
Tu n'as pas réparation du démarrage ?


@+

[invitea5cad2e4]

Bonsoir,

Si, mais parfois comme ce matin l'outil de réparation du démarrage ne suffit pas...
J'ai désinstallé / réinstallé Avast, et imprimé tes conseils que j'ai fait lire à mes parents... en espérant que cela aidera à garder un système sain...

Encore une fois, merci beaucoup pour ton aide !

Bonne soirée, et bonne semaine !

[chantal11]

Bonne continuation