Boxore, GamePlayLab et plein de PUM/PUP viré par MBAM [Résolu/Fermé]

Signaler
Messages postés
403
Date d'inscription
jeudi 16 septembre 2010
Statut
Membre
Dernière intervention
27 janvier 2019
-
Malekal_morte-
Messages postés
176704
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 mars 2020
-
Bonjour,

Quelqu'un m'a demandé de désinfecter son PC parce qu'il ramait. J'ai donc commencer par supprimer quelques programmes via le menu ajout/suppression de Windows. Il y avait entre autre plein de programme pour afficher des codes de réduction; fastplayer; divers pseudo programmes qui accélère le PC (speed up my PC; glary utilities...) et j'ai aussi viré Boxore et d'autres programmes qui affichait des pubs.
Au début il fallait attendre environ 10 minutes pour que le pc arrive sur le bureau; après ça j'ai facilement gagné 5 minutes d'attente.
J'en ai profité pour mettre à jour quelques programme (java qui était en version 6 update 35 ...)

J'ai ensuite fait une analyse avec MBAM qui m'a trouver au total plus de 1000 problèmes (des adwares: Boxore, GamePlayLab; beaucoup de PUP et quelques PUM). J'ai cherché le rapport mais il n'apparait pas ni dans MBAM ni dans les logs enregistré sur le disque dur.

J'ai ensuite passé ADWC que j'ai téléchargé et passé ce matin; voilà les rapports:
Celui du scan: https://www.cjoint.com/c/EJFlsjIeLVg
Celui de la suppression: https://www.cjoint.com/c/EJFlsF4CZig

Depuis ça va nettement mieux, il faut environ 2 ou 3 minutes pour atteindre le bureau mais je pense que tout n'est pas clean et je n'ai pas assez de connaissance pour me dépatouiller seul; donc je remercie par avance la personne qui prendra le temps de se pencher sur ce problème.

8 réponses

Messages postés
176704
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 mars 2020
20 108
Salut,

Suis le tutoriel FRST.
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.


Messages postés
403
Date d'inscription
jeudi 16 septembre 2010
Statut
Membre
Dernière intervention
27 janvier 2019
59
Merci Malekal_morte- de te pencher sur "mon" cas.
Alors voilà les rapports:

Pour frst.txt: https://pjjoint.malekal.com/files.php?id=FRST_20151031_r13b8u9u6p14

Pour Addition.txt: https://pjjoint.malekal.com/files.php?id=20151031_y15g1411m10r15

Et pour shortcut.txt: https://pjjoint.malekal.com/files.php?id=20151031_l14w8t5w5n11

Pour information, sur ton tuto Malekal_morte-; il y a la case "shortcut" qui est décochée sur la partie française. Ce n'est pas bien grave mais si on suit à la lettre, on ne coche pas la case et on n'a pas le rapport qui correspond.

Bref j'attend la prochaine étape.
Messages postés
176704
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 mars 2020
20 108
Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :

C:\Program Files (x86)\Probit Software\Easy Speed PC
HKU\S-1-5-21-1012671068-1334044886-2667432157-1003\...\Run: [Easy Speed PC] => C:\Program Files (x86)\Probit Software\Easy Speed PC\ESPCLauncher.exe
ProxyEnable: [S-1-5-21-1012671068-1334044886-2667432157-1003] => Proxy est activé.
ProxyServer: [S-1-5-21-1012671068-1334044886-2667432157-1003] => http=127.0.0.1:56847 [Attention - Possible Proxy Malicieux]
2015-10-30 20:40 - 2014-05-04 13:28 - 00000000 ____D C:\ProgramData\YOUiTube2Avi
2014-09-01 09:18 - 2014-09-01 09:18 - 0002086 _____ () C:\Users\rem's\AppData\Roaming\GEHNBD
2014-09-01 09:18 - 2015-07-14 09:36 - 0000365 _____ () C:\Users\rem's\AppData\Roaming\KEQDFQ
2014-09-01 09:18 - 2014-09-01 09:18 - 0002086 _____ () C:\Users\rem's\AppData\Roaming\QLUX
2014-09-01 09:18 - 2015-07-14 09:37 - 0000365 _____ () C:\Users\rem's\AppData\Roaming\UVLYEFOJ
Task: C:\Windows\Tasks\GEHNBD.job => C:\Users\rem's\AppData\Roaming\GEHNBD.exe <==== ATTENTION
Task: C:\Windows\Tasks\KEQDFQ.job => C:\Users\rem's\AppData\Roaming\KEQDFQ.exe <==== ATTENTION
Task: C:\Windows\Tasks\QLUX.job => C:\Users\rem's\AppData\Roaming\QLUX.exe <==== ATTENTION
Task: C:\Windows\Tasks\UVLYEFOJ.job => C:\Users\rem's\AppData\Roaming\UVLYEFOJ.exe <==== ATTENTION


Une fois, le texte collé dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur



puis réinitialise tes navigateurs:
==================================
Réinitialise tes navigateurs et ou manuellement reparamètre tes navigateurs WEB (page de démarrage, moteur de recherche etc) mais aussi supprimer/désactiver les extensions inutiles/parasites :

Messages postés
403
Date d'inscription
jeudi 16 septembre 2010
Statut
Membre
Dernière intervention
27 janvier 2019
59
Bon je pense avoir suivit les tutos; voilà le rapport de frst:

Résultats de correction de Farbar Recovery Scan Tool (x64) Version:31-10-2015
Exécuté par rem's (2015-10-31 15:01:27) Run:1
Exécuté depuis C:\Users\rem's\Desktop
Profils chargés: rem's & UpdatusUser (Profils disponibles: rem's & UpdatusUser)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

C:\Program Files (x86)\Probit Software\Easy Speed PC
HKU\S-1-5-21-1012671068-1334044886-2667432157-1003\...\Run: [Easy Speed PC] => C:\Program Files (x86)\Probit Software\Easy Speed PC\ESPCLauncher.exe
ProxyEnable: [S-1-5-21-1012671068-1334044886-2667432157-1003] => Proxy est activé.
ProxyServer: [S-1-5-21-1012671068-1334044886-2667432157-1003] => http=127.0.0.1:56847 [Attention - Possible Proxy Malicieux]
2015-10-30 20:40 - 2014-05-04 13:28 - 00000000 ____D C:\ProgramData\YOUiTube2Avi
2014-09-01 09:18 - 2014-09-01 09:18 - 0002086 _____ () C:\Users\rem's\AppData\Roaming\GEHNBD
2014-09-01 09:18 - 2015-07-14 09:36 - 0000365 _____ () C:\Users\rem's\AppData\Roaming\KEQDFQ
2014-09-01 09:18 - 2014-09-01 09:18 - 0002086 _____ () C:\Users\rem's\AppData\Roaming\QLUX
2014-09-01 09:18 - 2015-07-14 09:37 - 0000365 _____ () C:\Users\rem's\AppData\Roaming\UVLYEFOJ
Task: C:\Windows\Tasks\GEHNBD.job => C:\Users\rem's\AppData\Roaming\GEHNBD.exe <==== ATTENTION
Task: C:\Windows\Tasks\KEQDFQ.job => C:\Users\rem's\AppData\Roaming\KEQDFQ.exe <==== ATTENTION
Task: C:\Windows\Tasks\QLUX.job => C:\Users\rem's\AppData\Roaming\QLUX.exe <==== ATTENTION
Task: C:\Windows\Tasks\UVLYEFOJ.job => C:\Users\rem's\AppData\Roaming\UVLYEFOJ.exe <==== ATTENTION


"C:\Program Files (x86)\Probit Software\Easy Speed PC" => non trouvé(e).
HKU\S-1-5-21-1012671068-1334044886-2667432157-1003\Software\Microsoft\Windows\CurrentVersion\Run\\Easy Speed PC => valeur supprimé(es) avec succès
HKU\S-1-5-21-1012671068-1334044886-2667432157-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable => valeur supprimé(es) avec succès
HKU\S-1-5-21-1012671068-1334044886-2667432157-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer => valeur supprimé(es) avec succès
C:\ProgramData\YOUiTube2Avi => déplacé(es) avec succès
C:\Users\rem's\AppData\Roaming\GEHNBD => déplacé(es) avec succès
C:\Users\rem's\AppData\Roaming\KEQDFQ => déplacé(es) avec succès
C:\Users\rem's\AppData\Roaming\QLUX => déplacé(es) avec succès
C:\Users\rem's\AppData\Roaming\UVLYEFOJ => déplacé(es) avec succès
C:\Windows\Tasks\GEHNBD.job => déplacé(es) avec succès
C:\Windows\Tasks\KEQDFQ.job => déplacé(es) avec succès
C:\Windows\Tasks\QLUX.job => déplacé(es) avec succès
C:\Windows\Tasks\UVLYEFOJ.job => déplacé(es) avec succès

Fin de Fixlog 15:01:28

Après, pour nettoyer les navigateurs, j'ai passé zoek: https://pjjoint.malekal.com/files.php?id=20151031_d11n14q15m5f13
et ZHPCleaner: https://pjjoint.malekal.com/files.php?id=20151031_k14d6d6l5q8

PS: J'ai avast qui m'a lancé une alerte quand je suivais un tuto sur ton site et j'avais une fenêtre ouverte sur CCM aussi; sur ce sujet. Peut être que je téléchargeais ZHPCleaner ou zoek via les liens donnés sur ton sites, je ne suis pas entièrement certain.
Malekal_morte-
Messages postés
176704
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 mars 2020
20 108
sur quel navigateur WEB ?
zuxu
Messages postés
403
Date d'inscription
jeudi 16 septembre 2010
Statut
Membre
Dernière intervention
27 janvier 2019
59
J'étais sur IE
Messages postés
176704
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 mars 2020
20 108
ok je pense qu'Avast! fume.
Cela arrive souvent avec les détections svchost.exe

Refais un scan FRST et donne les rapports via pjjoint pour voir.




Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Malekal_morte-
Messages postés
176704
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 mars 2020
20 108
Les rapports sont à donner via pjjoint.
Messages postés
403
Date d'inscription
jeudi 16 septembre 2010
Statut
Membre
Dernière intervention
27 janvier 2019
59
Désolé vu que les 2 premiers étaient vide ou presque, je pensais que ça ne posait pas de problème. Je corrige l'erreur :)

Alors pour FRST.txt: https://pjjoint.malekal.com/files.php?id=20151101_x9k7o13z5y5

pour Addition.txt: https://pjjoint.malekal.com/files.php?id=20151101_b11r15y7r13u5

et pour Shortcut.txt: https://pjjoint.malekal.com/files.php?id=20151101_g15h9q12n5h8
Malekal_morte-
Messages postés
176704
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 mars 2020
20 108
ouaip le rapport FRST.txt est vide :/

Tu as tjrs des alertes Avast! ?
si oui:
- désactive la protection pendant 30min
- si ça continue, désinstalle le / réinstalle le.
zuxu
Messages postés
403
Date d'inscription
jeudi 16 septembre 2010
Statut
Membre
Dernière intervention
27 janvier 2019
59
Non je n'ai pas remarqué d'autres alertes; mais j'avais passé un ccleaner (avec nettoyage de tous les fichiers temporaire même ceux de moins de 24H) et redémarrer le PC dans la journée de Dimanche après t'avoir parlé de cette alerte. J'ai défragmenter le PC...
Bref maintenant j'arrive sur le bureau entre 1 à 2 minutes après le démarrage du pc donc niveau rapidité je pense qu'on ne pourra pas faire beaucoup mieux.

Niveau cochonnerie, je pense que c'est pas mal; je relance malgré tout une recherche via MBAM; même si ça sert pas à grand chose; vu que j'ai mis à jour les divers logiciel via "FileHippo App Manager".
Bref j'attend de voir ce que tu vas dire, mais comme le laisse supposé mon message je pense que le PC est clean.

Edit: MBAM me trouve encore des cochonneries dans la base de registre; je te donnerai le rapport une fois terminé.
Messages postés
176704
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 mars 2020
20 108
yep ça doit être correct!



Voila, c'est terminé, tu peux supprimer les programmes utilisés.

Quelques conseils :

Pour prévenir les sites malicieux, tu peux installer Blockulicious : https://forum.malekal.com/viewtopic.php?t=46656&start=

Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)


Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

zuxu
Messages postés
403
Date d'inscription
jeudi 16 septembre 2010
Statut
Membre
Dernière intervention
27 janvier 2019
59
Euh j'ai édité mon message pendant que tu as mis le tiens, MBAM retrouve dans la BdR des traces de PUP... J'ai pourtant activé dans Avast les LPIs...
Malekal_morte-
Messages postés
176704
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 mars 2020
20 108 > zuxu
Messages postés
403
Date d'inscription
jeudi 16 septembre 2010
Statut
Membre
Dernière intervention
27 janvier 2019

C'est rien.
3 clefs et le fichier détecté dans MBAM, c'est la quarantaine.
zuxu
Messages postés
403
Date d'inscription
jeudi 16 septembre 2010
Statut
Membre
Dernière intervention
27 janvier 2019
59
Les fichiers dans MBAM je me doute mais dans le logiciel, la quarantaine est vidée...

Bref si tu estimes que c'est bon; c'est toi le chef et j'obéis ;)
Messages postés
403
Date d'inscription
jeudi 16 septembre 2010
Statut
Membre
Dernière intervention
27 janvier 2019
59
Bon voilà le rapport de MBAM: https://pjjoint.malekal.com/files.php?id=20151103_l9f14b14q9h12

101 menaces identifiées dont certaines ni dans les quarantaines (ZHPcleaner/MBAM) ni dans la BdR:


"PUP.Optional.Salus.PrxySvrRST, C:\Program Files (x86)\Smwyyntm1ndi1zdz\ymizm2r2ohm4bgv\SSL, , [d5ca6415d3b8b482af1b9daaab57f709],
PUP.Optional.CrossRider, C:\Users\rem's\AppData\Local\Google\Chrome\User Data\Default\Local Extension Settings\hoidflomjnnnbiemmkjdjkkialmhbago, , [dcc322572a615fd7e348e47357ab669a], "

Le propriétaire avait un vieux real player d'installé, je lui ai mis le dernier en date, à savoir: real player cloud via le site real.com donc normalement sain, sauf si real se met à mettre des cochonneries dans ses installeurs.
Finalement, je l'ai viré et mis VLC télécharger sur videolan.org ( ici c'est sain jusqu'à nouvel avis ) et unlocker car je n'arrivais pas à désinstaller real player et je crois que c'est tout.
Malekal_morte-
Messages postés
176704
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 mars 2020
20 108
=)
faudrait qu'il garde Malwarebytes.
zuxu
Messages postés
403
Date d'inscription
jeudi 16 septembre 2010
Statut
Membre
Dernière intervention
27 janvier 2019
59
Il le gardera; mais à mon avis il ne va pas l'utiliser ou alors seulement quand ce sera trop tard :(
Quand j'ai récupéré l'ordinateur, le propriétaire m'a dit que ça fais plus ou moins 2 ans qu'il ne se servait plus de l'ordinateur car il était trop lent, mais il n'a à priori rien fait pour régler le problème à part mettre des cochonneries tel que "speed up my pc"...
Malekal_morte-
Messages postés
176704
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 mars 2020
20 108 > zuxu
Messages postés
403
Date d'inscription
jeudi 16 septembre 2010
Statut
Membre
Dernière intervention
27 janvier 2019

fais lui lire le dossier que j'ai donné plus haut, mais bon après, s'il est trop naif ou s'il ne comprend pas, on peut pas faire de miracle :/
ou mets le dans une session limitée =)
zuxu
Messages postés
403
Date d'inscription
jeudi 16 septembre 2010
Statut
Membre
Dernière intervention
27 janvier 2019
59
En fait il n'a juste pas envie de se prendre la tête avec l'informatique donc je vais essayer de lui faire lire tes diverses liens, mais j'ai un gros doute sur la réalisation de cette tâche.
Quand je lui ai dit que ce que j'allais faire c'est poser mon problème sur un forum et qu'il était capable de le faire, il a préféré que je m'en charge en me laissant sa mini-tour.

Le coup de la session limitée c'est une fausse bonne idée car assez vite je pense que j'aurai un retour soit de sa part soit de son père: un collègue de travail :)

Bref je vais essayé de lui faire comprendre de ne pas tout croire ce qu'il y a sur internet et de faire un minimum attention à ce qu'il fait sur le net (téléchargement et surf); bref essayer de garder un esprit critique.

Bonne continuation et surement à bientôt pour d'autres désinfections ;)
Malekal_morte-
Messages postés
176704
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 mars 2020
20 108 > zuxu
Messages postés
403
Date d'inscription
jeudi 16 septembre 2010
Statut
Membre
Dernière intervention
27 janvier 2019

Tu vas surement devoir t'y remettre dans 6 mois =)

Merci et bon courage !