Mipony interdit

[Alzen McCAW]

Bonjour,
l'ordi branché à internet est dans la cuisine et je surveille ... mais pas assez... vers midi ce jour, session admin ouverte, mon beauf a chargé un truc appelé Mipony, dans mon dos pendant que je préparais la bouffe !!!
«_tu vas voir, je t'es mis un truc pour avoir des films...» quel co--ard!!!
Maintenant c'est la panique dans l'ordi "qui bouge tout seul" et sur les navigateur : "c'est noël", plein de fenêtres qui s'ouvrent, pleins de pop-up, des messages de virus, des messages audios m'intimant de contacter Microsoft ou McAfee sur fond de sirène et le tel internet qu'arrête pas de sonner pour vendre des trucs
En plus comme j'ai pas dis gentiment à cet abrutis que c'est un c-n, bah maintenant c'est moi le méchant

Alors j'ai pas fait ATF cleaner...
mais j'ai "info et log" en PJ :info.txtlog.txt

si vous pouviez me filer un coup de main,
merci
-----

[Alzen McCAW]

bonjour,
indisponible pour une semaine, je ferais un "up" à mon retour...
merci

[invite9ce22e65]

bonjour

on va utiliser un outil de diagnostique

FRST Analyse

/!\ Ne passe l'outil qu'une seule fois afin de ne pas fausser le rapport /!\

choisis ci-dessous la version compatible avec ton système (32 bits ou 64 bits) et Important, Enregistre FRST sur ton Bureau

• Télécharge FRST 32 bits de Farbar
• Télécharge FRST 64 bits de Farbar

Clique sur ce lien si tu ne sais pas: Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?


Sous Internet Explorer, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur FRST.exe et clique sur Oui pour accepter le Disclaimer
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Sur le menu principal, clique sur Scan et patiente le temps de l'analyse
• A la fin du scan, un rapport FRST.txt s'ouvre.
• A son premier lancement, l'outil va aussi créer un fichier nommé Addition.txt

Dans un souci de confidentialité, les rapports doivent être postés en "pièce-jointe"

***

tu as donc deux rapports à fournir
--> FRST.txt
--> Addition.txt

[Alzen McCAW]

Bonsoir, merci

les fichiers demandés :

«_difficile d'avoir accès à la boite de dialogue sous toutes ces incessantes bannières s'ouvrant à chaque clic.»

[A voir en vidéo sur Futura]

[invite9ce22e65]

re

tu as fais des suppressions avec AdwCleaner et Malwarebytes ?
quels types de bannières s'ouvrent ?

***

FRST - Correctif :

/!\ Ne passe l'outil qu'une seule fois afin de ne pas fausser le rapport /!\

désinstalle via le panneau de configuration/désinstaller un programme: (si un programme ne veut pas se désinstaller ou bien absent de la liste, passes à la suite)

--> Adobe Reader XI (11.0.09) --> tu as la dernière version --> Adobe Reader XI (11.0.12)

Ensuite:

• Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
  
• Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes

--> de start (inclus dans le copié) à end (inclus dans le copié)

Code:

start
CreateRestorePoint:
CloseProcesses:
Task: {ABB185E7-B4BC-49C0-B6F0-9B123BC58BF6} - System32\Tasks\Microsoft\Windows\Application Experience\ProgramDataUpdater => Rundll32.exe invagent.dll,RunUpdate -noappraiser
Task: {B128BE88-13AB-4DFD-8F69-C87F10C0DA9C} - \ProgramUpdateCheck -> Pas de fichier <==== ATTENTION
Task: {F8848A78-9E6F-4325-AEEB-63D3FD99BC44} - \ProgramRefresh-ATFST -> Pas de fichier <==== ATTENTION
FirewallRules: [{B0D1BE6D-6358-4D78-A0C7-B01D2D627DB3}] => (Allow) C:\Program Files (x86)\File Type Assistant\TSAssist.exe
HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-1645420409-61368040-3680456911-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
FF user.js: detected! => C:\Users\Alex\AppData\Roaming\Mozilla\Firefox\Profiles\6z0gpswr.default-1340736345170\user.js [2015-08-26]
FF Extension: Filter Results - C:\Users\Alex\AppData\Roaming\Mozilla\Firefox\Profiles\0sjnkhsg.default\Extensions\{661caf30-a63e-42c2-b3b8-85773bbf5b0b}.xpi [2015-08-14]
FF Extension: Filter Results - C:\Users\Alex\AppData\Roaming\Mozilla\Firefox\Profiles\6z0gpswr.default-1340736345170\Extensions\{661caf30-a63e-42c2-b3b8-85773bbf5b0b}.xpi [2015-08-14]
CHR Plugin: (Wajam) - C:\Users\Alex\AppData\Local\Google\Chrome\User Data\Default\Extensions\jpmbfleldcgkldadpdinhjjopdfpjfjp\1.24_0\plugins/PriamNPAPI.dll Pas de fichier
C:\Program Files (x86)\File Type Assistant
EmptyTemp:
end

• Enregistre le fichier au même endroit que FRST /!\Important/!\ sous le nom fixlist.txt
• Ferme toutes les applications, y compris ton navigateur
  [li]Double-clique sur FRST.exe
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Sur le menu principal, clique une seule fois sur Corriger et patiente le temps de la correction
• L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse

Redémarre ton ordinateur s'il ne le fait pas automatiquement


Dans un souci de confidentialité, les rapports doivent être postés en "pièce-jointe"


/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\


***

ZHPCleaner-Scanner

/!\ Ne passe l'outil qu'une seule fois afin de ne pas fausser le rapport /!\

• Télécharge ZHPCleaner de Nicolas Coolman en cliquant sur le bouton bleu "Télécharger" et enregistre-le sur le Bureau
• Ferme toutes les applications, y compris le navigateur
• Double-clique sur l'icône ZHPCleaner.exe
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Accepte, après l'avoir lu, l'accord de licence en cliquant sur J'accepte
• Clique sur le bouton Scanner
  
• Poste le rapport obtenu ZHPCleaner.txt qui s'affiche.
  
  Tutoriel d'utilisation ZHPCleaner en images

Dans un souci de confidentialité, les rapports doivent être postés en "pièce-jointe"

***

deux rapports à fournir
--> Fixlog.txt
--> ZHPCleaner.txt --> mode recherche/scanner

[Alzen McCAW]

bonsoir,

re

tu as fais des suppressions avec AdwCleaner et Malwarebytes ?
quels types de bannières s'ouvrent ?

oui, suppressions avec les deux cités (j'ai les rapports), par contre rien fait avec Kaspersky.
pour les bannières et onglets qui s'ouvrent j'ai des copies d'écrans en JPEG... je les postes ?

[Alzen McCAW]

Re,

concernant ZHPCleaner c'est le rapport ---.txt après scanner, pour le momment je n'ai pas appuyé sur "Nettoyer"

[invite9ce22e65]

re

ZHPCleaner-Nettoyer


/!\ Ne passe l'outil qu'une seule fois afin de ne pas fausser le rapport /!\

• Ferme toutes les applications, y compris le navigateur
• Double-clique sur l'icône ZHPCleaner.exe
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Clique sur le bouton Scanner et patiente le temps de l'analyse, puis clique sur le bouton Nettoyer
• L'interface de réparation s'affiche, clique sur Nettoyer. Le nettoyage se lance
  [
• Patiente le temps du nettoyage
• Si un redémarrage est nécessaire pour compléter le nettoyage, clique sur OK et redémarre le système
• Au redémarrage, le rapport de nettoyage ZHPCleaner.txt s'affiche. Poste le rapport obtenu.
  
  Tutoriel d'utilisation ZHPCleaner en images

Dans un souci de confidentialité, les rapports doivent être postés en "pièce-jointe"

***

les bannières et onglets qui s'ouvrent j'ai des copies d'écrans en JPEG... je les postes ?

oui, en "pièce-jointe" stp

[Alzen McCAW]

re, (et merci, merci du fond du coeur, on ne le dit jamais assez)


_info : après utilisation du "fixlist.txt", les ouvertures intempestives de bannières et onglets multiples a cessé_

******
les copies d'écrans en PJ (apparition des miniatures dans l'ordre décroissant ... je m'y prend mal) :

• page d'accueil à l'ouverture de Firefox : 4 bannières fléchées rouge.
• ce qui apparait après clic gauche sur icône FUTURA dans la barre des marque-pages.
• l’écran obtenu après connexion à FUTURA et clic gauche sur l'accès à la discussion du forum "sécurité et malwares"
• enfin, ce que l'on a quand on clique sur l'onglet pour pour revenir à "lecture FUTURA" de la discussion qui nous concerne. Noter que la fermeture de chaque bannière entraine l'ouverture de nouveaux onglets ...

*****
le nouveau rapport ZHPCleaner après clique sur bouton Nettoyer

[invite9ce22e65]

re

tu avais fait ces captures avant FRST, sont elles toujours présentes ?

[Alzen McCAW]

Re,

re

tu avais fait ces captures avant FRST, sont elles toujours présentes ?

oui, les captures avant la procédure et oui elle ont cessées...

_info : après utilisation du "fixlist.txt", les ouvertures intempestives de bannières et onglets multiples ont cessées_

mais j'ai peut-être mal compris le timing dans la procédure ^^

[invite9ce22e65]

re

très bien, on finalise

Télécharge DelFix (de Xplode) sur ton bureau.

• Ferme toutes tes fenêtres, puis double clique sur DelFix.exe pour le lancer.
  (Utilisateur de Vista/Windows 7/windows 8.1, faites un clic droit -> "Exécuter en tant qu'administrateur")
• laisse l'option "Supprimer les outils de désinfection" cochée
• coche aussi l'option "Purger la restauration système" <-- /!\ important /!\
• Clique sur le bouton "Exécuter"
• Laisse travailler l'outil.

Le rapport est enregistré à la base de ton disque dur, (C:\DelFix.txt généralement)

Dans un souci de confidentialité, les rapports doivent être postés en "pièce-jointe"



***


Tu es la meilleure protection pour ton pc , en suivant quelques conditions:

--> Tenir à jour son système (windows, navigateurs, java, Adobe Reader, Flash player, etc ...)=> Qu'est-ce qu'une faille de sécurité?

--> D'une manière générale, vérifier/décocher les cases qui proposent d'ajouter des logiciels additionnels dans les programmes d'installation , lire ici aussi

--> P2P, crack, keygen .... <= Attention ...

--> Il faut éviter de télécharger des applications sur des plateformes comme Softonic et O1.net (ou toute autre plateforme, sans faire une recherche préalable sur le site en question) qui repackent les logiciels et les redistribuent avec des indésirables, tout simplement pour gagner de l'argent, alors que l'auteur de l'application la distribue gratuitement.
/!\ Toujours privilégier le téléchargement d'une application sur le site de l'éditeur /!\

--> Sauvegarder ses données régulièrement (photos, documents,etc ...) sur un autre support (DVD, disque dur externe ...) avant qu'il ne soit trop tard (ordinateur qui tombe en panne, malware de type Ransomware, ...etc...) .... ou bien faire des images systèmes régulières



***


Pour éviter de te faire réinfecter par des adwares à l'avenir, entraîne-toi à ne pas tomber dans leurs pièges en utilisant cet outil :

• Télécharge Adware Prevention de guigui0001 sur ton bureau.
• Ton navigateur ou ton antivirus peuvent le détecter comme une menace ; ignore ces avertissements.
• Lance-le en double-cliquant dessus (sous Windows 8, à l'activation de la protection SmartScreen, il faut cliquer sur Informations Complémentaires > Exécuter quand même)
• Cet outil est une fausse installation (il n'installe rien sur ton ordinateur). Son but est de s'entrainer à ne pas installer des logiciels potentiellement indésirables.
• A la fin de cette fausse installation, l'outil fait un bilan de tes décisions. Suis attentivement les conseils qu'il te donne.
• Adopte alors la même vigilance lors de tes futures installations, qui seront réelles cette fois-ci !
• Aide en image

Profite de Adware Prevention pour voir ce qu'est une installation personnalisée, ce logiciel n'installe rien sur ton ordinateur
essaye toutes les options de ce logiciel, c'est sans risque et son but est de faire comprendre le principe pour éviter à l'avenir d'installer des logiciels indésirables (proposés insidieusement par défaut)

[Alzen McCAW]

le rapport DelFix :

[invite9ce22e65]

re

c'est ok pour le rapport Delfix

bon surf

[Alzen McCAW]

Re,
merci encore,

j'aimerai faire un don aux développeurs ou au forum d'apprentissage anti malware... puis-je te contacter par MP ?

[invite9ce22e65]

re

j'ai suivi ma formation sur Security X

oui, tu peux pour le MP