Ordinateur sans antivirus, possible infectionRésolu/Fermé

Question

Bonjour, 

J'ai temporairement récupéré l'ordinateur d'une amie qui ne connait rien à la sécurité informatique et qui navigue sur tout et n'importe quoi sans protection aucune sur l'ordinateur. 

L'ordinateur a été acheté très récemment, cependant il est possible qu'il soit déjà infecté. 

Etant donné que mes connaissance en nettoyage sont limitées, je me tourne vers vous afin de pouvoir rendre à mon amie un ordinateur propre et bien protégé. 

Pour le moment, je me suis contenté d'installer Avast, de scanner avec MBAM et mettre en quarantaine ce qui ressortait, et de passer Adwcleaner. 

D'avance merci pour l'aide que vous pourrez m'apporter. 

Cdt,

Thomas

lilidurhone · Answer

Hello


Bonne approche ;^)

 * Télécharge ZHPDiag (de Nicolas Coolman)
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html ou https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

* Au cas où le premier lien ne marcherai pas, clique sur celui de dessous
ftp://zebulon.fr/ZHPDiag2.exe

* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.

* Surtout, n'oublie pas d'installer son icône sur le bureau l'icône est en forme de parchemin 
https://www.cjoint.com/13sp/CIvuQfap3YY_zhpdiag.png

* A l'ouverture du logiciel il te sera proposé 3 options "rechercher" , "configurer" et "toutes options"

* Choisis la dernière(toutes options)


* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette

* Pour héberger le rapport, rends toi sur cjoint.com
* Clique sur choisissez un fichier va chercher le rapport dans ton PC.

* Le rapport est hébergé:
- Pour XP : C:\Documents and Settings\username\Local Settings\Application Data\ZHP
- Depuis Vista : C:\Users\username\AppData\Roaming\ZHP 

* Une fois le rapport trouvé, sélectionne le, et clique sur Ouvrir

* Choisis le type de diffusion (illimitée ou 21 jours)
* Puis cliques sur créer le lien cjoint

* Une fois que tu auras obtenu le lien copies colle dans ta prochaine réponse

* Pour t'aider  https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers

krako95 · Answer

Bonjour et merci pour cette réponse rapide. 

Voici le rapport: 
https://www.cjoint.com/?DDnpOvsrcxi

lilidurhone · Answer

Macfee mal désinstallé

Utilise MRCP.exe

lilidurhone · Answer

Impeccable

Tu as passé adwcleaner?

lilidurhone · Answer

On continue ce soir :)

krako95 · Answer

Et voici les différents rapports d'Adwcleaner que j'ai pu trouver: 

- 03 Mars : https://www.cjoint.com/c/DDnuFqckJId
- 03 Mars : https://www.cjoint.com/c/DDnuIhJdUhh
- 13 Avril : https://www.cjoint.com/c/DDnuIEuFKly

lilidurhone · Answer

refais zhpdiag

krako95 · Answer

Bonsoir, 

Voici le nouveau rapport ZHP: 
https://www.cjoint.com/?0Dov1zQ87d1

krako95 · Answer

Bonsoir, 

Etes-vous disponible pour continuer?

lilidurhone · Answer

Tu te connectes avec un proxy?

krako95 · Answer

J'utilise un VPN sur mon ordi perso (avec lequel j'ai posté le dernier message) mais rien de tout ça sur l'ordinateur de mon amie.

lilidurhone · Answer

Ok

Car 
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:56847

lilidurhone · Answer

ça te dérange qu'on continue demain?

lilidurhone · Answer

Coucou(juste avant de partir au travail)

mais peu importe, c'est déjà bien aimable de m'aider. 
C'est normal :)

lilidurhone · Answer

J'ai éteint l'ordinateur :(

Demain promis

krako95 · Answer

Bonsoir, 

Juste pour vous informer que je suis rentré et prêt à continuer quand vous serez disponible.

lilidurhone · Answer

Hello

Ton amie utilise une version crackée d'office?

lilidurhone · Answer

Car

" [MD5.49BB8D0B9E079745AA18BECB7F36FEAF] [APT] [AutoKMS] (...) -- C:\Windows\AutoKMS\AutoKMS.exe   [1924096]  =>Trojan.Keygen"

lilidurhone · Answer

Attention script personnalisé à ne pas reproduire sur un autre ordinateur risque de plantage !   

* Désactive le temps du nettoyage avast(clic droit sur la boule bleue>gestion des agents>désactiver pour 10 minutes)

* Copies uniquement les lignes indiquées en gras ci-dessous dans le presse papier soit le bloc note(tu surlignes avec la souris puis clic droit copier de Script ZHPFix jusqu'à la fin soit sysrestore)

Script ZHPFix
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:56847   =>Hijacker.Proxy
[MD5.00000000000000000000000000000000] [APT] [System Speedup] (...) -- C:\Program Files (x86)\System Speedup\SystemSpeedup.exe (.not file.)   [0]  =>PUP.SystemSpeedup
O42 - Logiciel: SaveSense - (.SaveSense.) [HKCU][64Bits] -- SaveSense  =>PUP.SaveSense
[HKLM\Software\LevelQualityWatcher]  =>PUP.LevelQualityWatcher
[HKLM\Software\Wow6432Node\SWEETIM]  =>PUP.SweetIM
[HKLM\Software\Wow6432Node\ValueApps]  =>Toolbar.Conduit
O43 - CFD: 02/02/2014 - 17:14:59 - [1,689] ----D C:\ProgramData\Updater  =>PUP.CrossRider
O43 - CFD: 02/02/2014 - 17:14:54 - [0] ----D C:\Users\Sophie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Value Apps  =>Toolbar.Conduit
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\AdvancedSystemProtector_RASAPI32  =>PUP.AdvancedSystemProtector
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\AdvancedSystemProtector_RASMANCS  =>PUP.AdvancedSystemProtector
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\melondrea_RASAPI32  =>PUP.Melondrea
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\melondrea_RASMANCS  =>PUP.Melondrea
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\RightSurf_RASAPI32  =>PUP.RightSurf
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\RightSurf_RASMANCS  =>PUP.RightSurf
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\updatemelondrea_RASAPI32  =>PUP.Melondrea
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\updatemelondrea_RASMANCS  =>PUP.Melondrea
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\updateRightSurf_RASAPI32  =>PUP.RightSurf
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\updateRightSurf_RASMANCS  =>PUP.RightSurf
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\utilRightSurf_RASAPI32  =>PUP.RightSurf
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\utilRightSurf_RASMANCS  =>PUP.RightSurf
[HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\SaveSense]   =>PUP.SaveSense^
[HKLM\Software\Wow6432Node\SweetIM]   =>PUP.SweetIM
C:\ProgramData\Updater   =>PUP.CrossRider^
C:\Users\Sophie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Value Apps   =>Toolbar.Conduit^
C:\Windows\Installer\98e8b.msi   =>PUP.SavingsBull^
C:\Users\Sophie\AppData\Local\Temp\OB.exe   =>PUP.OfferBox
[HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\SaveSense]   =>PUP.SaveSense^
[HKLM\Software\Wow6432Node\SweetIM]   =>PUP.SweetIM
sysrestore

* Lance ZHPFix (icône seringue)en tant qu'administrateur(si tu es sous Vista/7/8)sinon double clique sur l'icône en forme de seringue  puis clique sur OK pour continuer.

* Cliques sur importer(Dans certains cas le script se colle automatiquement dans la zone de script et ne nécessite pas de cliquer sur le bouton "IMPORTER".)

* Si tu ne vois pas les lignes clic droit dans l'encadré puis coller

* Clique sur le bouton GO pour lancer le nettoyage, et laisse l'outil travailler.

* Zhpfix te proposera de vider la corbeille si tu le souhaites cliques sur oui si tu ne le souhaites pas cliques sur non

* Redémarre le PC et poste le rapport C:\ZHP\ZHPFixReport.txt

krako95 · Answer

Voici le rapport:
https://www.cjoint.com/c/DDru0gAF5MI

lilidurhone · Answer

Plus de souci?

krako95 · Answer

j'ai navigué un petit peu, ouvert différents programmes et pas de problème apparent. 
Je pense que tout est okay.

lilidurhone · Answer

As tu d'autres soucis?

krako95 · Answer

Y-a-t-il autre chose à faire sur l'ordinateur pour finir?

lilidurhone · Answer

1)Désinstallation des outils de désinfection
Télécharges Delfix ici https://www.commentcamarche.net/telecharger/securite/7111-delfix/

Exécutes le en tant qu'administrateur(si tu es sous xp double clic sur le fichier téléchargé) puis une fois sur l'interface coches les cases suivantes


-supprimer les outils de désinfections
-purger la restauration du système

Cliques ensuite sur Exécuter puis patientes pendant le processus de suppression.

Le rapport sera enregistré dans le presse-papier et sur le disque dur (C:\DelFix.txt).
Poste le rapport

2)N'oublies pas de mettre à jour java adobe reader et flashplayer pour IE (chrome l'intègre déjà)
Un lien utile à lire https://www.commentcamarche.net/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
N'oublies pas aussi de maintenir Windows à jour via Windows update 
https://www.java.com/fr/download/manual.jsp



3)Pour permettre de mettre à jour tes logiciels je te conseille d'utiliser Filehippo update checker

Tu peux le télécharger ici https://www.commentcamarche.net/telecharger/utilitaires/9771-filehippo-app-manager/

Pour l'installation de filehippo décoches seulement mettre l'icône dans la barre de lancement rapide 



4)Pour nettoyer les fichiers temporaires (attention pas de nettoyage registre ) tu peux utiliser Ccleaner avec tuto pour bien le configurer (https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
Lien du téléchargement https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
Tu peux aussi utiliser le nettoyeur de disque windows
N'oublies pas de défragmenter de temps en temps ton disque dur soit par le biais de l'utilitaire soit par le biais d'un logiciel tiers comme par exemple Deffagler ou auslogic Disk Defrag

Oublies les genres de nettoyeurs comme Tuneup ,Glary et autre nettoyeurs miracles ils ne te feront que ralentir ta machine et nettoyer plus blanc que blanc peut provoquer de graves dysfonctionnements



5)Sécurise tes navigateurs par exemple avec WOT et simple adblock pour Internet explorer
Pour télécharger WOT pour ie c'est par ici https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp
https://adblockplus.org/
Pour chrome(si tu possèdes Chrome)

Wot disponible ici https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp?hl=fr

Adblock disponible ici https://www.commentcamarche.net/telecharger/web-internet/2555-adblock-plus-pour-chrome/

Lien du téléchargement pour wot sur firefox
https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/

Lien pour télécharger adblock +

https://addons.mozilla.org/fr/firefox/addon/adblock-plus/?src=ss


6)Fais attention à ce que tu télécharges où et comment 
Evites si possible de télécharger sur O1net,tom's guide,télécharger.com et Softonic et compagnie car ils repackent les logiciels avec des programmes potientellement indésirables
A lire
http://www.stoppublicites.fr/
https://www.malekal.com/adwares-pup-protection/

7)Pourquoi faut-il éviter de télécharger sur du p2p

Les risques sont gros la machine risque de devenir un pc zombie
Un peu de lecture concernant les dangers et le risque
https://forum.malekal.com/viewtopic.php?t=3208&start=
https://forum.malekal.com/viewtopic.php?t=893&start=

krako95 · Answer

Voici le rapport de Delfix: 

# DelFix v10.6 - Rapport créé le 17/04/2014 à 21:38:29
# Mis à jour le 11/11/2013 par Xplode
# Nom d'utilisateur : Sophie - PC-SOPHIE
# Système d'exploitation : Windows 8.1  (64 bits)

~ Suppression des outils de désinfection ...

Supprimé : C:\AdwCleaner
Supprimé : C:\Users\Sophie\AppData\Roaming\ZHP
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP
Supprimé : C:\Program Files (x86)\ZHPDiag
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\Users\Sophie\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Sophie\Desktop\ZHPDiag.txt
Supprimé : C:\Users\Sophie\Desktop\ZHPFix.lnk
Supprimé : C:\Users\Sophie\Desktop\ZHPFixReport.txt
Supprimé : C:\Users\Sophie\Desktop\ZHPFix[R1].txt
Supprimé : C:\Users\Sophie\Downloads\adwcleaner (1).exe
Supprimée : HKLM\SOFTWARE\AdwCleaner
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~ Purge de la restauration système ...

Supprimé : RP #5 [Windows Update | 03/26/2014 19:07:30]
Supprimé : RP #6 [Windows Update | 04/02/2014 18:03:34]
Supprimé : RP #7 [Windows Update | 04/07/2014 18:03:40]
Supprimé : RP #8 [avast! antivirus system restore point | 04/13/2014 12:37:45]
Supprimé : RP #9 [ZHPFix Restore System Point | 04/17/2014 18:46:09]

Nouveau point de restauration créé !

########## - EOF - ##########

Ordinateur sans antivirus, possible infection

26 réponses

Discussions similaires

Newsletters