Vérification d'une désinfection

[JPL]

Bonjour

Divers signes d'infection sur l'ordinateur de mon épouse ce matin. MBAM le débarrasse d'une série de PUP (plus de 200 signalements dans le scan). Après redémarrage nouveau passage de MBAM qui en trouve quelques autres. Puis la présence d'un Optimizer Pro m'incite à utiliser Roguekiller qui le trouve en effet, ainsi qu'un certain nombre de clés suspectes.

Après nettoyage le comportement semble redevenu normal, mais je constate que si Optimizer Pro ne se manifeste plus, son répertoire et le contenu de ce dernier n'ont pas été effacés.

Ci-joints les rapports de FRST. Tout en reconnaissant mon incompétence, est-il normal que dans addition.txt je trouve une mention de MySafeProxy for Internet Explorer, programme que je ne connais pas ?

Merci par avance à celle ou celui qui se penchera sur ces rapports.
-----

[chantal11]

Bonjour cher modérateur

Alors, le système fait des siennes ... ton épouse a manqué de vigilance sur ce qui est validé lors de l'installation de logiciels gratuits, bien lire les conditions d'utilisation et ne pas accepter tout ce qui est proposé avec. Il faut décocher les cases des sponsors.

Je regarde tes rapports et t'indique la suite.

@+

[chantal11]

Re,

Le rapport Addition.txt est incomplet.
Tu pourrais le poster de nouveau s'il te plaît (il doit se terminer par End of log)

Merci

@+

[JPL]

C'est de ma faute : j'avais oublié de cocher la case !

En fait la veille une de nos petites-filles avait utilisé l'ordinateur, mais je suis surpris parce qu'elle est très expérimentée.

[A voir en vidéo sur Futura]

[chantal11]

Re,

Le rapport est maintenant complet, merci.

Je ne remets pas mon petit laïus concernant Windows XP, tu as du déjà en prendre connaissance.

En fait la veille une de nos petites-filles avait utilisé l'ordinateur, mais je suis surpris parce qu'elle est très expérimentée.

On va se faire dépasser par les petits-enfants



On entame la désinfection.

--------------------------------------------------------------------------------------------------------------

Désinstalle via Panneau de configuration -> Désinstaller un programme (si présents) :

MySafeProxy for Internet Explorer

Si un programme ne veut pas se désinstaller, tu passes au suivant.

--------------------------------------------------------------------------------------------------------------

--------------------------------------------------------------------------------------------------------------

FRST - Correctif :

/!\ Crée un point de restauration manuel avant d'appliquer le correctif - Tutoriel en images /!\

• Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
• Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes
  
  
  Code:

  start
  CloseProcesses:
  HKU\S-1-5-21-746137067-1303643608-839522115-1006\...\Run: [MSMSGS] => C:\Program Files\Messenger\msmsgs.exe [1695232 2008-04-13] (Microsoft Corporation)
  2014-10-30 09:53 - 2014-10-30 09:53 - 00000000 ____D () C:\Documents and Settings\- Annie -\Local Settings\Application Data\com
  2014-10-30 09:40 - 2014-10-30 09:40 - 00000000 ____D () C:\Documents and Settings\- Annie -\Local Settings\Application Data\fastplayer
  2014-10-30 09:31 - 2014-10-30 12:05 - 00001384 _____ () C:\WINDOWS\Tasks\EIE.job
  2014-10-30 09:30 - 2014-10-30 11:11 - 00000000 ____D () C:\Documents and Settings\- Annie -\Application Data\VOPackage
  2014-10-30 09:26 - 2014-10-30 11:11 - 00000000 ____D () C:\Program Files\globalUpdate
  2014-10-30 09:26 - 2014-10-30 09:26 - 00000000 ____D () C:\Documents and Settings\- Annie -\Mes documents\Optimizer Pro
  2014-10-30 09:26 - 2014-10-30 09:26 - 00000000 ____D () C:\Documents and Settings\- Annie -\Local Settings\Application Data\globalUpdate
  2014-10-30 09:25 - 2014-10-28 23:01 - 04959744 ____N () C:\WINDOWS\rcore.exe
  2014-10-30 09:24 - 2014-10-30 11:11 - 00000000 ____D () C:\Program Files\Optimizer Pro
  2014-10-30 09:24 - 2014-10-30 11:11 - 00000000 ____D () C:\Program Files\FastPlayer
  2014-10-30 09:24 - 2014-10-30 11:11 - 00000000 ____D () C:\Documents and Settings\- Annie -\Local Settings\Application Data\StormWatch
  2014-10-30 09:24 - 2014-10-30 10:23 - 00000000 ____D () C:\Program Files\PepperZip
  2014-10-30 09:24 - 2014-10-30 09:40 - 00001570 _____ () C:\Documents and Settings\- Annie -\Bureau\FastPlayer.lnk
  2014-10-30 09:24 - 2014-10-30 09:24 - 00000000 ____D () C:\Documents and Settings\All Users\Menu Démarrer\Programmes\FastPlayer
  2014-10-30 09:23 - 2014-10-30 10:11 - 00000000 ____D () C:\Program Files\MyPC Backup
  2014-10-30 09:23 - 2014-10-30 09:23 - 00000000 ____D () C:\Documents and Settings\LocalService\Local Settings\Application Data\XTRM Group Ltd
  2014-10-30 09:22 - 2014-10-30 11:48 - 00000000 ____D () C:\Program Files\XTRM Group
  2014-10-30 09:22 - 2014-10-30 09:23 - 00000000 ____D () C:\Documents and Settings\- Annie -\Local Settings\Application Data\Temp
  2014-10-30 09:21 - 2014-10-30 09:27 - 00000000 ____D () C:\Program Files\Software
  2014-10-30 09:21 - 2014-10-30 09:21 - 00000000 ____D () C:\Documents and Settings\- Annie -\Local Settings\Application Data\Software
  C:\Documents and Settings\- Annie -\Application Data\EIE.exe
  Task: C:\WINDOWS\Tasks\EIE.job => C:\Documents and Settings\- Annie -\Application Data\EIE.exe
  EmptyTemp:
  end

• Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur FRST.exe
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction
• L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\

--------------------------------------------------------------------------------------------------------------

AdwCleaner - Scanner :

• Télécharge AdwCleaner de Xplode et enregistre le fichier sur ton Bureau
  Patiente le temps que ton navigateur te propose le téléchargement à enregistrer, sans cliquer nulle part, surtout pas sur les sponsors de la page
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur l'icône AdwCleaner.exe pour lancer l'outil
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Sur le menu principal, clique sur Scanner
• Les éléments détectés s'affichent dans les différents onglets. Clique sur Rapport
• Un rapport AdwCleaner(R).txt s'ouvre. Poste ce rapport dans ta prochaine réponse
  Le rapport se trouve sous C:\AdwCleaner\AdwCleaner(R).tx t

Sous IE9, IE10 ou IE11, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

Si ton antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (le fichier AdwCleaner.exe est sûr)

Tutoriel d'utilisation AdwCleaner en images

--------------------------------------------------------------------------------------------------------------

Sont attendus les rapports
Fixlog
AdwCleaner-Scanner

@+

[JPL]

Merci, je m'en occuperai ce soir.

En ce qui concerne ma petite fille elle est dans un IUT réseaux et communication (donc bien meilleure que moi sur beaucoup de points) Mais comme elle s'est battue longtemps hier avec un problème de compte Google récalcitrant pour mon épouse il est possible qu'en essayant diverses solutions elle ait eu un moment de distraction. Mais rien n'exclut que la responsable soit sa grand-mère

Je connais bien le problème de XP mais l'ordinateur en question suffit aux besoins courants de mon épouse malgré son âge vénérable (je parle de celui de l'ordinateur ) et ne supporterait pas un autre OS sauf Linux, mais je ne tiens pas à perturber les habitudes de ma moitié d'autant que comme Windows 10 est prévu pour l'an prochain je lui passerai sans doute à cette occasion mon ordinateur actuel sous Windows 7 en excellent état.

[JPL]

Voici les deux rapports.

[chantal11]

Bonjour,

OK pour les rapports, nous continuons le nettoyage.

--------------------------------------------------------------------------------------------------------------

AdwCleaner - Nettoyer :

• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur l'icône AdwCleaner.exe pour lancer l'outil
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Sur le menu principal, clique sur Scanner
• Les éléments détectés s'affichent dans les différents onglets. Clique sur Nettoyer et valide par OK la fermeture des programmes
• Patiente le temps de l'analyse et valide le message d'informations
• Un redémarrage est demandé, valider par OK
• Au redémarrage, un rapport AdwCleaner(S).txt s'ouvre. Poste ce rapport dans ta prochaine réponse
  Le rapport se trouve sous C:\AdwCleaner\AdwCleaner(S).tx t

Sous IE9, IE10 ou IE11, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

Si ton antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (le fichier AdwCleaner.exe est sûr)

Tutoriel d'utilisation AdwCleaner en images

En cas de perte de connexion internet après le passage de l'outil, appliquer une de ces procédures Perte de connexion internet après l'utilisation d'un outil

--------------------------------------------------------------------------------------------------------------

Malwarebytes Anti-Malware :

• Télécharge Malwarebytes Anti-Malware et enregistre le sur le Bureau
• Double-clique sur le fichier mbam-setup.exe pour lancer l'installation
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• A la fin de l'installation, décoche l'option "Activer l'essai gratuit de Malwarebytes Anti-Malware Premium". La case Exécuter Malwarebytes Anti-Malware reste cochée.
• Clique sur Terminer. Malwarebyte's s'ouvre
• Pour mettre en français, dans Settings, puis General Settings, dans Language, sélectionne French
• Dans Version de la base de données, clique sur le lien Mettre à jour pour installer les mises à jour et laisse l'outil les installer
• Dans Paramètres, puis Détection et protection, sélectionne Traiter les détections comme des malveillants pour les détections PUP et PUM
• Dans Examen, coche Examen "Menaces" puis clique sur Examiner maintenant
• Si l'outil te propose d'autres mises à jour, valide en cliquant sur Mettre à jour maintenant
• Patiente le temps de l'analyse
• Pour supprimer les éléments détectés, clique sur Tout mettre en quarantaine
• Si un redémarrage est demandé, clique sur Yes
• Au redémarrage, relance Malwarebytes
• Dans Historique, clique sur Journaux de l'application
• Sélectionne le journal d'examen le plus récent, puis clique sur Afficher
• Clique sur Exporter puis sur Fichier texte (*.txt)
• Enregistre le rapport sur ton Bureau. Poste ce rapport dans ta prochaine réponse
  Le journal d'examen est aussi enregistré sous C:\ProgramData\Malwarebytes\Ma lwarebytes' Anti-Malware\Logs

Tutoriel d'utilisation Malwarebytes en images

--------------------------------------------------------------------------------------------------------------

Sont attendus les rapports
AdwCleaner-Nettoyer
Malwarebytes

Comment se comporte le système maintenant par rapport aux symptômes signalés au début ?

@+

[JPL]

Voici le rapport d'AdwCleaner. Je n'ai pas mis celui de MBAM tout simplement parce qu'il n'a strictement rien trouvé.

À propose de MBAM je pensais que l'achat de la licence était valable à perpétuité mais je constate que maintenant la licence de la version Premium correspond à un abonnement annuel d'une vingtaine d'euros.

Cette désinfection est une très bonne démonstration de ce que j'explique à l'occasion sur le forum : il est illusoire de tenter une désinfection soi-même. Dans le cas présent la gêne engendrée par l'infection de l'ordinateur m'a conduit à prendre des mesures d'urgence. Compte tenu de ce que j'observais j'ai pensé que MBAM et Roguekiller étaient des outils adaptés.

En effet ils ont suffi à faire disparaître tous les symptômes visibles. Beaucoup se seraient arrêtés là mais j'étais convaincu qu'il restait très probablement d'autres infections cachées, ce que tu as parfaitement mis en évidence et traité.

Merci donc pour ce travail propre et sans bavure.

[chantal11]

Re,

OK pour le rapport AdwCleaner et pour Malwarebytes.

Oui, la licence Malwarebytes est maintenant pour un an, mais si tu avais la licence avant que que cela ne change, la licence reste à vie.

Oui, si les synptômes ont disparu après quelques procédures de la propre initiative de l'utilisateur, cela ne garantit pas que le système soit "propre" ......... il y a même un risque de ré-infection.
Les malwares évoluent très vite et chaque jour de nouvelles variantes sont éditées, variantes qui ne sont souvent détectées qu'à la lecture d'un rapport de diagnostic, mais pas encore pas les outils automatisés.


Si tout va bien, nous pouvons donc finaliser.

---------------------------------------------------------------------------------------------

Adobe Flash Player :

Ouvre Internet Explorer, télécharge et installe cette dernière version :
Adobe Flash Player

Pense à décocher les options proposées en même temps telles que la Barre d'outils Google gratuite (facultatif)
Il faut installer et tenir à jour Flash Player sous chaque navigateur présent sur le système

---------------------------------------------------------------------------------------------

Adobe Reader :

Télécharge et installe cette dernière version Adobe Reader
N'oublie pas de décocher la case Google Chrome et McAfee Sécurity Scan


---------------------------------------------------------------------------------------------

DelFix :

• Télécharge DelFix de Xplode et enregistre le fichier sur ton Bureau
• Double-clique sur l'icône Delfix.exe pour lancer l'outil
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Sur le menu principal, coche uniquement les options
  - Supprimer les outils de désinfection
  - Purger la restauration système
• Clique ensuite sur Exécuter et laisse l'outil travailler
  
• Un rapport DelFix.txt s'ouvre. Poste ce rapport dans ta prochaine réponse
  Le rapport se trouve sous C:\DelFix.txt

---------------------------------------------------------------------------------------------

Quelques précisions et conseils :

• D'une manière générale, il faut être prudent sur le net et ne pas cliquer sur tout ce qui paraît attrayant.
  
  /!\ Toujours privilégier le téléchargement d'une application sur le site de l'éditeur
  
  /!\ Bien lire les accords de licence avant toute installlation, des études ont montré que La France est championne du monde de malwares !
  
  /!\ Etre vigilant au moment de l'installation d'une application, Stop la pub !
  Installation d'une application sponsorisée, les pièges à éviter !
  
  /!\ Sauvegarder régulièrement les données personnelles sur un support externe
  
  /!\ Ne jamais ouvrir une pièce-jointe dans un mail d'un expéditeur inconnu
  
  
  
• Maintenir son antivrus à jour et analyser le système régulièrement, avec en parallèle un scan avec Malwarebytes
  
  
• Tenir son système à jour, au niveau des mises à jour Windows Update, sans oublier les logiciels installés.
  Vérifier aussi d'avoir toujours la dernière version de Java et Flash Player
  Il faut mettre à jour Flash Player sous chaque navigateur présent sur le système
  Penser à décocher les options proposées en même temps que Java et Flash Player (Barre Google, Scan McAfee ....)
  SX Check&Update - Vérifier et mettre à jour facilement les logiciels à risque ou son système
  
  
• Au niveau de Firefox et Chrome, tu peux sécuriser ta navigation
  
  
  /!\ Une attitude responsable sur le net est la meilleure protection pour ton système
  Eviter les comportements à risques (cracks/keygens, P2P, streaming illégal, pornographie, etc.)
  

N'hésite pas si tu as des questions.

Pour en savoir plus, clique sur l'image pour télécharger ce PDF

[JPL]

Et voici le rapport final. Merci encore.

Remarque : pour MBAM c'est une modification sauvage de leur tarif !

[chantal11]

Bonjour,

OK pour le rapport Delfix.

pour MBAM c'est une modification sauvage de leur tarif !

Business, business ........... c'est devenu une grosse boîte, pratiquement tous les développeurs sont des professionnels salariés Malwarebytes.

Fort heureusement, il reste à l'utilisateur lambda la version gratuite pour les analyses complètes.


Bonne continuation