Ennuis diffus, consécutifs à systweak4?

[abracadabra75]

Bonjour.

Vers le mois de Mars ou Avril, Avira a détecté le virus ci-dessus contenu dans adu.exe (que j'utilisais depuis plus d'un an).
Hospitalisé pour soigner une grippe très sévère, je ne me suis pas occupé de cette infection-là, en laissant les soins à mon fils. Je ne sais donc pas ce qu'il a fait exactement, sauf qu'il a viré adu.exe.
Reprenant une vie normale, je constate de petits ennuis dans mon pc: lenteur au chargement de certaines applications, disparition de raccourcis ou mauvais branchement; brièvement, une fois, m'est apparu le message 'votre version n'est pas légale' (ce qui est parfaitement faux).
Cette saleté aurait-elle laissé des traces cachées?
FRST_03-07-2015_09-55-40.txt
Addition_03-07-2015_09-55-40.txt

Merci de bien vouloir m'aider.

A+
-----

[xsun]

bonjour

rien de visible dans tes rapports si ce n'est ceci:

Error: (07/03/2015 07:38:34 AM) (Source: Windows Search Service) (EventID: 7010) (User: )
Description: Impossible d’initialiser l’index.

Détails :
Le catalogue d’index des contenus est endommagé. (HRESULT : 0xc0041801) (0xc0041801)


Error: (07/03/2015 07:38:29 AM) (Source: Windows Search Service) (EventID: 9002) (User: )
Description: Contexte : Application Windows, Catalogue SystemIndex

Détails :
La base de données d’index des contenus est endommagée. (HRESULT : 0xc0041800) (0xc0041800)


Error: (07/03/2015 07:38:29 AM) (Source: Windows Search Service) (EventID: 7040) (User: )
Description: Détails :
Le catalogue d’index des contenus est endommagé. (HRESULT : 0xc0041801) (0xc0041801)
4700

On utilisera un outil pour vérifier ton système après, on regarde d'abord côté infection


***

FRST - Correctif :

• Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
  
• Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes

Code:

start
CreateRestorePoint:
CloseProcesses:
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
2015-05-27 18:19 - 2015-05-27 18:47 - 00000000 ____D C:\ProgramData\E1864A66-75E3-486a-BD95-D1B7D99A84A7
EmptyTemp:
end

• Enregistre le fichier au même endroit que FRST /!\Important/!\ sous le nom fixlist.txt
• sois tu copies/colles FRST.exe sur ton Bureau (s'il se trouve actuellement dans ton dossier Téléchargement) et tu enregistres fixlist.txt sur ton bureau
• sois tu enregistres fixlist.txt dans ton dossier Downloads (Téléchargement)
• Ferme toutes les applications, y compris ton navigateur
  [li]Double-clique sur FRST.exe
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction
  
• L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse

***

=> AdwCleaner- Recherche:

/!\ Ne passe l'outil qu'une seule fois afin de ne pas fausser le rapport /!\

• Télécharge AdwCleaner de Xplode et enregistre le fichier sur ton Bureau
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur l'icône AdwCleaner.exe pour lancer l'installation
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Sur le menu principal, clique sur Scanner
• Les éléments détectés s'affichent dans les différents onglets. Clique sur Rapport
• Un rapport AdwCleaner(R).txt s'ouvre. Poste ce rapport dans ta prochaine réponse
  Le rapport se trouve sous C:\AdwCleaner(R).txt

Aide en image pour AdwCleaner


***

ZHPCleaner-Scanner

/!\ Ne passe l'outil qu'une seule fois afin de ne pas fausser le rapport /!\

• Télécharge ZHPCleaner de Nicolas Coolman en cliquant sur le bouton bleu "Télécharger" et enregistre-le sur le Bureau
• Ferme toutes les applications, y compris le navigateur
• Double-clique sur l'icône ZHPCleaner.exe
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Accepte, après l'avoir lu, l'accord de licence en cliquant sur J'accepte
• Clique sur le bouton Scanner
  
• Poste le rapport obtenu ZHPCleaner.txt qui s'affiche.
  
  Tutoriel d'utilisation ZHPCleaner en images

Dans un souci de confidentialité, les rapports doivent être postés en "pièce-jointe"


***

tu as 3 rapports à fournir
--> Fixlog.txt
--> C:\AdwCleaner(R).txt mode recherche/scanner
--> ZHPCleaner.txt mode recherche/scanner

[abracadabra75]

Bonsoir Xsun,

et merci.
Voici les 3 rapports.

[xsun]

re

les outils confirment, ce n'est pas infectieux


Tu vas relancer ZHPCleaner pour qu'il supprime les dossiers vides

ZHPCleaner-Nettoyer

• Ferme toutes les applications, y compris le navigateur
• Double-clique sur l'icône ZHPCleaner.exe
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Clique sur le bouton Scanner et patiente le temps de l'analyse, puis clique sur le bouton Nettoyer
• L'interface de réparation s'affiche, clique sur Nettoyer. Le nettoyage se lance
  [
• Patiente le temps du nettoyage
• Si un redémarrage est nécessaire pour compléter le nettoyage, clique sur OK et redémarre le système
• Au redémarrage, le rapport de nettoyage ZHPCleaner.txt s'affiche. Poste le rapport obtenu.
  
  Tutoriel d'utilisation ZHPCleaner en images

inutile de poster le rapport


***

Windows Repair:

Télécharge Windows Repair, Version Portable

Décompresse l'archive (clic-droit -> extraire tout... )

Clique sur l’icône Repair_Windows.exe
(clic droit exécuter en tant qu'administrateur)


va directement au Step 3



cliques sur "Open Check Disk At Next Boot"


Choisis ton disque C dans Drive et coche l'option (/ R), valide avec le bouton Add to Next Boot

l'ordinateur demandera à redémarrer, acceptes, puis un scan s'effectuera au démarrage.
Si ce n'est pas le cas, redémarres manuellement

Ensuite:

Step 4



cliques sur "Do It".
Il faut ensuite impérativement redémarrer le pc avant de continuer.


Step 5



Avant modification, fais une sauvegarde du registre en cliquant sur "BackUp" et créer un point de restauration système en cliquant sur "Create".


Une fois le Step 5 fais,


Va sur l'onglet Repair:


cliques sur "Open Repairs"




vérifie que les options cochées correspondent à l'image ci dessous, sans oublier la coche Restart System



Une fois ok, clic sur Start Repairs:

Aide en image

[A voir en vidéo sur Futura]

[abracadabra75]

Re.
Le scandisk a duré toute la matinée....ouf!

L'exécution de WindowsRepair a eu quelques anicroches:
-la première exécution s'est déroulée entièrement (me semble-t-il), mais s'est bloquée avec
un message semblable à: 'impossible d'exécuter le redémarrage automatique'.
j'ai relancé manuellement et WindowsRepair est reparti.
-mais j'ai mal cliqué sur le cases à cocher; je l'ai arrêté et l'ai relancé.
-enfin la troisième exécution s'est déroulée normalement.

Au redémarrage, Avira m'a indiqué avoir bloqué une tentative d'intrusion.
Et Malwarebyte me signale: "n'avoir pu charger le pilote DDA anti-rootkit. Cette erreur peut être due à
l'activité d'un rootkit." et suggère un redémarrage pour charger le dit pilote (ce que j'ai fait).
Mais il n'a rien mis en quarantaine. Un hasard sans doute, et non une conséquence du nettoyage?

Est-ce que tu veux les log's de WindowsRepair?

Merci de ton aide.

A+

[xsun]

re

je veux bien le résultat de Windows Repair

Tu as noté le message d'Avira pour la tentative d'intrusion? car cela peut être aussi lié à un programme légitime, Windows Repair par exemple

je pense que tu fais des scans réguliers avec Malwarebytes, mais on peut utiliser un autre outil

Est ce qu'aujourd'hui ton ordi fonctionne mieux ou cela n'a rien changé ?


***


RogueKiller Mode scanner


/!\ Ne passe l'outil qu'une seule fois afin de ne pas fausser le rapport /!\

• Télécharge RogueKiller
• Note: Descend en bas de la page, choisis 32 bits ou 64 bits portable dans la section Télécharger (Local) et enregistre-le sur ton Bureau
• /!\ Important -> Quitte tous les programmes en cours Désactive temporairement Avira et Malwarebytes si actif
• Double-clique sur RogueKiller.exe sur ton Bureau
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Accepte l'EULA du programme
• Patiente le temps du Prescan, puis clique sur Scan
  
• Clique sur Rapport et poste ce rapport dans ta prochaine réponse

Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Au besoin le renommer en Winlogon.exe

Dans un souci de confidentialité, les rapports doivent être postés en "pièce-jointe"

[abracadabra75]

Voici les fichiers de la première exécution de Windowsrepair (celle qui s'est bloquée en fin d'exécution) et le rapport de RogueKiller

Subjectivement, car mon pifomètre mesure mal les vitesses d'exécution, cela semble mieux tourner; le programme qui mettait le plus de temps (ISIS de la suite Proteus de Labcenters) se charge nettement plus vite.
Mais j'ai toujours de temps en temps le message de Malwarebytes ne pouvant charger 'le DDA anti-rootkit'.
Hier, j'ai en ce message, aujourd'hui (avant RogueKiller) non.

J'ai mis les 4 premiers logs de Windowsrepair, étant limité à 5 fichiers par envoi (les dossiers sont refusés).

[xsun]

re

ok pour les rapports

Windows repair a travaillé, les erreurs que j'avais cité au début du sujet devraient être réglées

Pas de rootkit en vue non plus avec RogueKiller

Pour le message de Malwarebytes, je peux me renseigner

Si un rootkit interfère avec l'installation des pilotes, vous verrez un message annonçant que le pilote DDA n'a pas été installé et que vous devez faire redémarrer votre ordinateur pour qu'il le soit:

source

Mais il ne trouve rien après le redémarrage, peut être, je dis bien peut être que l'antivirus peut interférer
Tu as donc la version payante de Malwarebytes ?

[abracadabra75]

oui. Elle tourne en continu, en arrière plan, très discrète. Et comme je ne suis pas un adepte de la navigation à tout va, n'importe où, il a rarement l'occasion de se manifester.

[xsun]

Re


Pour le message: Malwarebytes n'a pas pu charger Anti-Rootkit DDA


Il faut noter les informations de licence dans Mon compte (identifiant et clé) de Malwarebytes

Puis désinstaller Malwarebytes via le panneau de configuration et ensuite utiliser mbam-clean.exe

Redémarrer l'ordinateur

et ré-installer Malwarebytes, il faudra se "ré-enregistrer" avec les information notées auparavant dans Mon compte

[abracadabra75]

Re.

J'avais déjà désnistallé et réinstallé MalwareByte mais sans passer le mbam-clean. exe.
Je viens de refaire la manip suivie de mbam-clean.... et toujours le même message qui s'est affiché dès le 1er lancement.

[xsun]

re

ok, mais désolé d'insister pour l'ordre que tu as fait

1) tu l'as désintallé

2) passé mbam-clean. exe

3) redémarrer l'ordinateur

4) ré-installation

Si l'ordre est exacte, à part demander directement au développeur de l'outil ...

[abracadabra75]

C'est très exactement ce que j'ai fait, avec redémarrage entre chaque action (et de plus mbam-clean déclenche un redémarrage automatique).

En train d'écrire cette réponse dans la précédente session, malwarebyte a planté, avec code erreur trop bref pour être noté et redémarrage.

Un point bizarre: le moment de l'apparition du message 'impossible de charger le DMA...etc' est totalement aléatoire.

[xsun]

re

ok, mais ce n'est pas infectieux

Tu peux désactiver dans les options de détection la recherche de rootkit



Puis tu quittes MBA via la barre des tâches, et relance MBA pour voir si le message revient

mais mes connaissances sur cet outil s'arrête ici

si tu veux régler se soucis, il faut faire une demande sur le forum de Malwarebytes

[abracadabra75]

Je vais contacter Malwarebytes, car cette anomalie m'intrigue.

Un grand grand merci pour ton aide et ta patience.

A+

[xsun]

re

tiens moi informer pour malwarebytes, ça m'intéresse aussi de savoir pourquoi

***

on finalise

Télécharge DelFix (de Xplode) sur ton bureau.

• Ferme toutes tes fenêtres, puis double clique sur DelFix.exe pour le lancer.
  (Utilisateur de Vista/Windows 7/windows 8.1, faites un clic droit -> "Exécuter en tant qu'administrateur")
• laisse l'option "Supprimer les outils de désinfection" cochée
• coche aussi l'option "Purger la restauration système" <-- /!\ important /!\
• Clique sur le bouton "Exécuter"
• Laisse travailler l'outil.

Le rapport est enregistré à la base de ton disque dur, (C:\DelFix.txt généralement)

Dans un souci de confidentialité, les rapports doivent être postés en "pièce-jointe"



***


Tu es la meilleure protection pour ton pc , en suivant quelques conditions:

--> Tenir à jour son système (windows, navigateurs, java, Adobe Reader, Flash player, etc ...)=> Qu'est-ce qu'une faille de sécurité?

--> D'une manière générale, vérifier/décocher les cases qui proposent d'ajouter des logiciels additionnels dans les programmes d'installation , lire ici aussi

--> P2P, crack, keygen .... <= Attention ...

--> Il faut éviter de télécharger des applications sur des plateformes comme Softonic et O1.net (ou toute autre plateforme, sans faire une recherche préalable sur le site en question) qui repackent les logiciels et les redistribuent avec des indésirables, tout simplement pour gagner de l'argent, alors que l'auteur de l'application la distribue gratuitement.
/!\ Toujours privilégier le téléchargement d'une application sur le site de l'éditeur /!\

--> Sauvegarder ses données régulièrement (photos, documents,etc ...) sur un autre support (DVD, disque dur externe ...) avant qu'il ne soit trop tard (ordinateur qui tombe en panne, malware de type Ransomware, ...etc...)



***


Pour éviter de te faire réinfecter par des adwares à l'avenir, entraîne-toi à ne pas tomber dans leurs pièges en utilisant cet outil :

• Télécharge Adware Prevention de guigui0001 sur ton bureau.
• Ton navigateur ou ton antivirus peuvent le détecter comme une menace ; ignore ces avertissements.
• Lance-le en double-cliquant dessus (sous Windows 8, à l'activation de la protection SmartScreen, il faut cliquer sur Informations Complémentaires > Exécuter quand même)
• Cet outil est une fausse installation (il n'installe rien sur ton ordinateur). Son but est de s'entrainer à ne pas installer des logiciels potentiellement indésirables.
• A la fin de cette fausse installation, l'outil fait un bilan de tes décisions. Suis attentivement les conseils qu'il te donne.
• Adopte alors la même vigilance lors de tes futures installations, qui seront réelles cette fois-ci !
• Aide en image

Profite de Adware Prevention pour voir ce qu'est une installation personnalisée, ce logiciel n'installe rien sur ton ordinateur
essaye toutes les options de ce logiciel, c'est sans risque et son but est de faire comprendre le principe pour éviter à l'avenir d'installer des logiciels indésirables (proposés insidieusement par défaut)

[abracadabra75]

Bonsoir.
J'avais déjà exécuté Delfix, mais sans l'option de purge des points de restauration.
Je t'envoie donc 2 rapports, l'ayant repassé avec la purge.

Je profite de ce post pour savoir ce qui suit:
Ayant viré adu.exe, j'ai voulu refaire l'actualisation des drivers au moyen de 'ma-config.com' que j'utilisais auparavant, moins commode de détection et d'exécution.
L'implantation de l'agent 7.1.7 build 0 pour windows 64 bits, Avira le détecte comme étant un virus...
(J'ai ouvert une discussion dans 'Internet-Réseau--Sécurité générale', mais le sujet n'a pas éveillé un grand intérêt). Peut-être sais-tu si c'est un 'vrai'
virus ou un faux positif? (en pj le superbe avertissement Avira: on ne peut le rater!)

[xsun]

re

ok pour le rapport Delfix avec les points de restaurations supprimés et le nouveau créé

concernant l'avertissement d'Avira, il ne parle pas du fichier, mais du site qui serait reconnu malveillant
j'ai déjà utilisé ce site même si cela fait un moment
FP pour ma part

PS: il est coutume de dire ... si l'ordinateur roule bien, laisse tranquille les pilotes

[abracadabra75]

Il est aussi coutume de dire: mettez vos logiciels à jour

Et par expériences (professionnelles): quand quelque chose marche, ne pas y toucher...