FORUM D’ENTRAIDE INFORMATIQUE (FEI)
Site d’assistance et de sécurité informatique

Aide à la désinfection (pages publicitaires, moteur de recherche remplacé, redirections, virus...).
Règles du forum : Entraide concernant la désinfection et la sécurité informatique : en cas de publicités intempestives, pop-up, redirections, logiciels indésirables, ralentissements suspects, virus, etc.
Une désinfection complète vous sera assurée : désinfection, sécurisation, puis prévention.
Seuls les helpers (personnes qualifiées et formées à la désinfection) ainsi que le staff sont autorisés à apporter leur aide dans cette section.
Merci également de prendre connaissance de la charte générale du forum.
  • Avatar du membre
  • Avatar du membre
Avatar du membre
par Devour
#3468
Bonsoir à tous,

J'ai remarqué il y a peu longtemps que mon ordinateur chauffait un peu et que les navigateurs notamment Firefox utilisait pas mal de ressource. Ceci est arrivé après l'installation de quelques addons pour Facebook et Google, mais aussi après l'installation d'un module complémentaire non voulu "ClickPotato".

Je suis quelqu'un qui essaye de toujours faire attention et qui effectue du nettoyage et de la défrag assez souvent.

J'ai donc suivi sur un forum les infos données par d'autres membres;

-Premièrement, mon rapport AD-Remover:
RAPPORT AD-R

-Deuxièmement, mon rapport MalwareBytes ' AntiMalware:
RAPPORT MBAM

-Troisièmement et enfin, mon rapport ZHPDiag:
RAPPORT ZHPDiag


Merci à tous ceux qui m'aideront à analyser ces scans et utiliser au mieux ZHPFix, en sachant que j'ai déjà supprimer la sélection dans MalwareBytes ' AntiMalware.

Cordialement,
Devour
par Anthony5151
#3469
Bonsoir


Bienvenue sur FEI !
Nous allons essayer de régler ton problème ensemble. D'abord, quelques rappels :

- N'ouvre pas d'autres sujets pour le même problème (que ce soit sur ce forum ou sur un autre)
- N'hésite pas à poser des questions en cas de besoin
- Sois patient(e) quand tu postes un message, je ne réponds pas instantanément : je suis bénévole et je ne suis pas en permanence devant mon ordinateur. Mais rassure toi, je ne laisse jamais tomber personne
- La désinfection (si nécessaire) va se dérouler en plusieurs étapes. Même si les symptômes de l'infection disparaissent, la désinfection ne sera terminée que quand je te le confirmerai -- Merci de revenir jusqu'au bout, sinon ce qu'on a fait n'aura servi à rien.


Tu as eu les bons réflexes en utilisant AD-Remover, MalwareBytes Anti-Malware et ZHPDiag. ClickPotato est en effet un logiciel publicitaire... Pour éviter ce genre de problème :
- Ne télécharge pas n'importe quel programme gratuit sans te renseigner dessus
- Ne télécharge aucun programme proposé dans des publicités ou sur des sites suspects, préfère les sites connus ou le téléchargement directement sur le site de l'éditeur.
- Lis attentivement lorsque tu installes un programme gratuit, et décoche tous les programmes additionnels qui sont proposés, en particulier les barres d'outils !


Pour désinfecter ton ordinateur :

1) Le fichier Hosts de ton ordinateur a été modifié (sans doute par une infection), nous allons le restaurer :

• Télécharge RstHosts (de Xplode) sur ton Bureau.
• Lance le et clique sur Restaurer.
• Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.


2) Ce script va cibler certains éléments à supprimer :

• Ouvre ce lien, sélectionne le script en entier et copie le (Edition -- Copier)
• Fais un clic-droit sur le raccourci de ZHPFix et choisis "Exécuter en temps qu'administrateur"
• Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
• Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
• Clique sur le bouton « GO » pour lancer le nettoyage,
• Copie/colle la totalité du rapport dans ta prochaine réponse


3) Fais redémarrer ton ordinateur et poste un nouveau rapport ZHPDiag (pense à l'héberger sur cijoint.fr, comme le précédent).
Avatar du membre
par Devour
#3502
Bonsoir et merci de ta réponse Anthony5151,

J'ai pris un peu de retard par rapport à tout cela dû à certaines raisons.

1/Tout d'abord, pour la restauration du fichier Hosts, voici le contenu du rapport: Rapport RstHosts v1.7 - 12/08/2011 à 18:46
Mis à jour le 22/05/11 à 17h30 par Xplode
Système d'exploitation : Windows 7 Home Premium (32 bits) [version 6.1.7601] Service Pack 1
Nom d'utilisateur : Romain - ROMAIN-COMPUTER (Administrateur)
Exécuté depuis : C:\Users\Romain\Downloads\rsthosts.exe
Option : [Restaurer]

++++++++++ [Restauration du fichier hosts] ++++++++++

- Suppression... OK !
- BackUp sauvegardé sous C:\RstHostsBkp.bak ... OK !
- Copie du fichier hosts sain vers C:\windows\system32\drivers\etc\hosts ... OK !

- Fichier Hosts restauré avec succès !

++++++++++ [Propriétés du fichier hosts] ++++++++++

Emplacement : C:\windows\system32\drivers\etc\hosts
Attribut(s) : RASH
Taille : 89 octets
Date de création : 14/07/2009 - 04:04
Date de modification : 21/11/2010 - 15:59
Date de dernier accès : 12/08/2011 - 18:46

++++++++++ [Contenu du fichier hosts ( Avant restauration )] ++++++++++

# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
#      102.54.94.97    rhino.acme.com          # source server
#      38.25.63.10    x.acme.com              # x client host

# localhost name resolution is handled within DNS itself.
#   127.0.0.1      localhost
#   ::1            localhost

78.159.96.47 cpalead.com cpalock.com http://www.cpalead.com http://www.cpalock.com adscendmedia.com http://www.adscendmedia.com ad.leadbolt.net cupexmedia.com http://www.cupexmedia.com

208.115.247.247 cpalead.com cpalock.com http://www.cpalead.com http://www.cpalock.com adscendmedia.com http://www.adscendmedia.com ad.leadbolt.net cupexmedia.com http://www.cupexmedia.com


++++++++++ [Contenu du fichier hosts ( Après restauration )] ++++++++++

# Fichier Hosts créé par RstHosts

127.0.0.1      localhost
::1            localhost

########## EOF - "C:\RstHosts.txt" - [2372 octets] ##########
J'ai modifié une partie de ce fichier maintenant je m'en souviens pour pouvoir bloquer certaines pubs arrivant à l'écran dirigées par cpalead ou leadbolt ou quelque chose comme cela.

2/Pour la seconde partie, j'ai un petit soucis avec le ZHPFix.
Il m'affiche une fenêtre d'erreur au départ:
Image

Ensuite quand je clique sur OK, il bloque à un niveau, et je l'ai laissé durant au moins 2h, il n'a pas bougé. J'ai donc décidé d'arrêter la procédure en ouvrant le gestionnaire des tâches et en fermant le processus.

Pourrais-tu m'aider pour ce problème ou que puis-je faire d'autres ?

Merci encore !
par Anthony5151
#3506
Lance ZHPDiag et clique sur la flèche verte pour le mettre à jour. Ensuite, relance ZHPFix et réessaye le script s'il te plait. Si ça ne fonctionne toujours pas, on fera autrement.
Avatar du membre
par Devour
#3548
Le voici:

Rapport de ZHPFix 1.12.3354 par Nicolas Coolman, Update du 14/08/2011
Fichier d'export Registre :
Run by Romain at 8/17/2011 3:45:13 AM
Windows 7 Home Premium Edition, 32-bit Service Pack 1 (Build 7601)
Web site : http://www.premiumorange.com/zeb-help-p ... hpfix.html

========== Clé(s) du Registre ==========
ABSENT Key: HKCU\Software\TOTEM
SUPPRIME CLSID MPSK: {91151994-d228-11df-acb4-b482fe524b19}
SUPPRIME CLSID MPSK: {9643e934-ce2c-11df-a9d2-b482fe524b19}
SUPPRIME CLSID MPSK: {a37dfb83-d897-11df-93d8-00ade1ac1c1a}
SUPPRIME CLSID MPSK: {caecb6f9-ce07-11df-addd-b482fe524b19}
SUPPRIME Key: SearchScopes :{afdbddaa-5d3f-42ee-b79c-185a7020515b}
SUPPRIME Key: HKLM\Software\Classes\pdfforge.DllInfo
SUPPRIME Key: HKLM\Software\Classes\pdfforge.PDF.PDF
SUPPRIME Key: HKLM\Software\Classes\pdfforge.PDF.PDFEncryptor
SUPPRIME Key: HKLM\Software\Classes\pdfforge.PDF.PDFLine
SUPPRIME Key: HKLM\Software\Classes\pdfforge.PDF.PDFText
SUPPRIME Key: HKLM\Software\Classes\pdfforge.Tools
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2EECD738-5844-4a99-B4B6-146BF802613B}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{2EECD738-5844-4a99-B4B6-146BF802613B}
SUPPRIME Key: HKLM\Software\Classes\CLSID\{2EECD738-5844-4a99-B4B6-146BF802613B}
SUPPRIME Key: HKLM\Software\ASK
ABSENT Key: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}

========== Dossier(s) ==========
SUPPRIME Folder: C:\Users\Romain\AppData\Roaming\vghd
SUPPRIME Folder: C:\Users\Romain\AppData\Local\MediaGet2
SUPPRIME Folder: c:\users\romain\appdata\locallow\babylontoolbar
SUPPRIME Temporaires Windows: : 5

========== Fichier(s) ==========
ABSENT Folder/File: c:\users\romain\appdata\roaming\vghd
ABSENT Folder/File: c:\users\romain\appdata\local\mediaget2
SUPPRIME Temporaires Windows: : 14

========== Tache planifiée ==========
ABSENT Task: RunAsStdUser Task
ABSENT Task: {45E28E7C-E979-4422-AED6-FC3070236C7D}
ABSENT Task: {8D36D666-C445-4710-A94B-D005EF0BA24F}
ABSENT Task: {D8B30687-A5FB-4D1F-B977-258FBA528B9A}
ABSENT Task: {E0B26896-E98E-4600-8861-A19C7FB3739A}
ABSENT Task: {E412D028-84D7-4A4B-86E1-3852D9EF1BAD}
ABSENT Task: {F3550ADD-BC14-47DF-9E55-102D2C1E20FF}


========== Récapitulatif ==========
17 : Clé(s) du Registre
4 : Dossier(s)
3 : Fichier(s)
7 : Tache planifiée


End of the scan in 30mn AMs

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 8/17/2011 3:45:13 AM
par Anthony5151
#3560
Désolé de t'avoir fait attendre, je n'ai pas été beaucoup sur mon ordinateur ces derniers jours.

Encore un mini script : télécharge ce fichier -- lance le -- laisse toi guider.

As-tu encore des problèmes ? Sinon, on passera à la finition
Avatar du membre
par Devour
#3569
Oui y a toujours quelques soucis on dirait, et l'ordi chauffe pas mal.
Image

Je me demande si il ne faut pas que je l'ouvre et que je regarde si il y a de la poussière dedans.
par Anthony5151
#3589
Ton ordinateur n'est plus infecté
Voici les conseils de finition :


1) Sécurise ton ordinateur

• Logiciels de protection :
Garde un antivirus (Avast dans ton cas) et en complément, garde MalwareBytes Anti-Malware pour faire des scans de vérification de temps en temps. Ni plus, ni moins.

• Pour naviguer sur internet plus en sécurité et à l’abri des publicités, je te conseille vivement d’installer et d'utiliser la dernière version de Firefox. Une fois que c'est fait, lance le et installe les deux extensions de sécurité suivantes :
AdBlockPlus pour bloquer les publicités ;
WOT, pour t'avertir des sites web dangereux.
Profites-en pour désinstaller d'autres modules complémentaires de Firefox qui ne te servent pas, s'il y en a.

• Désinstalle toutes les versions de Java ou JRE présentes (les anciennes versions comportent des failles de sécurité), puis télécharge et installe la nouvelle version depuis le site officiel de java (n'installe pas la barre d'outil proposée lors de l'installation)

• Même chose pour Adobe Reader : désinstalle le et télécharge la dernière version (tu peux décocher le programme qui est proposé en option lors du téléchargement).

• Pour les mêmes raisons, mets à jour Flash Player : Ferme ton navigateur, puis désinstalle Adobe Flash Player 10 ActiveX et Adobe Flash Player 10 Plugin. Ensuite, utilise ces deux liens pour installer la dernière version : Celui-ci pour l'ActiveX et celui-ci pour le plugin.

• Pour vérifier régulièrement que tous tes programmes sont bien à jour, tu peux t'aider de ce programme : Secunia PSI.

• Vaccine tes disques amovibles à l'aide de MKV (de ElDesaparecido et C_XX) : il suffit de brancher tous tes disques amovibles (clé USB, disque dur externe, lecteur mp3, cartes mémoire...) sans les ouvrir, puis de lancer MKV et cliquer sur "Vacciner".



2) Optimisation :

• Télécharge Ccleaner. Installe le et lance le. Clique sur Nettoyeur -- Analyse -- Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche. Enfin, Registre -- corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.

• Pour limiter le nombre de programmes qui se lancent automatiquement au démarrage : toujours dans CCleaner, clique sur Outils -- Démarrage -- Sélectionne les lignes suivantes et clique sur "Désactiver" : Adobe Reader Speed Launcher / Adobe ARM / Sidebar / QuickTime Task / ccleaner (inutile de le lancer à chaque démarrage de l'ordinateur... une fois par mois suffit largement).

• Télécharge ce fichier -- lance le -- accepte la modification du Registre.

• Télécharge Defraggler. Installe le puis lance le. Ferme tous tes autres programmes, sélectionne ton disque dur et clique sur "Défragmentation rapide".



3) Il faut supprimer tous les outils que nous avons utilisés : Télécharge DelFix (de Xplode) sur ton Bureau -- Lance le et clique sur Suppression -- quand il aura terminé, clique sur Désinstallation.



4) Pour finir le nettoyage, il faut purger la restauration du système (pour supprimer les points de restauration infectés) : pour ça, suis ce tutoriel.



5) Prévention : Je te conseille vivement de lire cet article qui t'apportera des informations de prévention et de protection contre les infections (environ 15 minutes de lecture très instructive et utile) : Prévention et sécurité sur internet



6) Précautions Pour finir, je t'invite à changer tous tes mots de passe importants (banque, ebay, paypal...), car certaines infections les récupèrent... De même, fais régulièrement une sauvegarde de tes documents importants sur un support externe (disque dur externe, CD/DVD réinscriptible...)
Ici, nous avons pu désinfecter ton ordinateur, mais ce n'est pas toujours le cas. Certaines infections cryptent les documents et demandent une rançon pour les récupérer, d'autres les modifient pour diffuser des infections, obligeant donc à les effacer... Il faut donc toujours avoir une sauvegarde saine de tes documents, sinon tu risques de les perdre.




Bonne lecture, bon courage, et n'hésite pas à poser des questions en cas de besoin



Si tes problèmes de surchauffe persistent après ça, un dépoussiérage de l'ordinateur est à envisager. Est-ce un ordinateur fixe ou un portable ? De quand date-t-il ?
Avatar du membre
par Devour
#3590
Je vais m'exécuter de ce pas mais tout d'abord je réponds à tes questions. Mon ordinateur est portable et il date d'il y a un an environ. C'est le Samsung R580 (Suisse).

Pour MalwareBytes Anti-Malware, étant une version d'évaluation est-il possible de le garder comme tu le suggères ?

Si j'ai d'autres questions je t'en informe.

Merci encore.
par Anthony5151
#3653
Tu as normalement téléchargé la version gratuite de MalwareBytes, qui te propose un essai (de 15 jours si je ne me trompe pas) de la protection en temps réel qui n'est normalement présente que dans la version payante. Cette protection n'est pas obligatoire, c'est pour des scans ponctuels (accessible dans la version gratuite) que je t'ai recommandé ce logiciel. A la fin de la période d'essai, la protection en temps réel se désactivera mais tu pourras continuer à faire des scans

Pour la surchauffe : commence simplement par passer un léger coup d'aspirateur à travers les grilles d'aération de l'ordinateur (avec l'ordinateur éteint, évidemment). Si l'ordinateur a moins d'un an, tu peux essayer de contacter Samsung en leur indiquant que l'ordinateur chauffe et voir s'ils peuvent effectuer le dépoussiérage sous garantie. Par contre, tu seras privé de ton ordinateur quelques jours, mais le SAV de Samsung est généralement rapide (j'ai déjà eu à envoyer un ordinateur Samsung en réparation, un transporteur vient chercher l'ordinateur chez toi et te le ramène, la réparation ne prend que quelques jours). A toi de voir
De manière générale, fais attention à toujours poser l'ordinateur sur une surface dure (les jambes, les canapés, les lits... sont des supports qui épousent la forme de l'ordinateur et bouchent les aération). Il existe des supports spéciaux pour ordinateur portable, permettant de les surélever pour faciliter la circulation d'air (tu peux aussi t'en bricoler un gratuitement en posant des petits supports sous les 4 coins de l'ordi).

Tiens moi au courant.

Re Pour verifier si votre PC est espionné […]

Hello Ça me semble complexe, avez vous e[…]

hey Eh beh tu vas bien te faire balader par tes co[…]