Bonjour à tous ! et particulièrement à toi monk
 
J'ai le PC d'une collègue qui est vérolé, avec affichage d'une page de pub intempestive toutes les 30s... Du coup le PC est inutilisable !  
Malgré Maleware + adwcleaner, impossible de s'en débarasser.
 
Pourriez vous m'aider SVP ?
 
Ci joint les logs :
- adwcleaner :  http://www.cjoint.com/c/GEDtAcr4dOq
- maleware : http://www.cjoint.com/c/GEDtAGSWurq
- zhp diag : http://www.cjoint.com/c/GEDtA6J7z0q
- farbar : http://www.cjoint.com/c/GEDtBq55JKq
 
ZHP a trouvé çà : Adware.CrossRider, Adware.Wizzcaster, Adware.SpeeDownloader, et 2-3 autres trucs
 
Merci d'avance !

il devrait y avoir Monk qui devrait passer pour t'aider.
Le PC semble bien contaminé avec tout ce qui se lance au démarrage.
Le service Tower Photograph (gemeloki) me semble louche.

Le pire dans l'histoire, c'est que le PC en question tourne bien mieux depuis la première vague de nettoyage !

La fille de ma collègue a voulu télécharger des émoticônes, elle a du télécharger le mauvais fichier

Salut,
 
Le PC est sévèrement vérolé ! Utiliser ce qui suit dans un premier temps.
 
 
 
 
==> ZHPFix
 
 

• Télécharger et installer le programme ZHPFix

• Puis, à partir du bureau, lancer le programme en faisant un clic droit de la souris sur son icône (une seringue) et en choisissant "Exécuter en tant qu'administrateur" (pour Windows Vista, 7/8/10).

   
 
 
     Attention, le script qui suit a été écrit spécifiquement pour l'ordinateur de Phenix21, il n'est pas
      transposable sur un autre ordinateur.
 
 
     Le temps de téléchargement du script a été volontairement limité à 4 jours.
 

• Cliquer sur ce lien http://www.cjoint.com/doc/17_05/GE [...] zhpfix.txt
• Sur la page qui s'ouvre, faire un clic droit et choisir Tout sélectionner.
• Puis, refaire un clic droit et choisir Copier.

• Retourner sur ZHPFix et cliquer sur IMPORTER.

• Dans la plupart des cas, le script se colle automatiquement dans la zone de script.
• Dans le cas contraire, faire un clic droit de la souris dans la fenêtre de ZHPFix et choisir Coller.
• Cliquer sur Go.

• A la demande, confirmer le nettoyage des données en cliquant sur OUI.

• Patienter le temps du traitement (le traitement peut être long suivant la quantité de données à supprimer).
• ZHPFix va demander si vous souhaiter vider ta corbeille, accepter.  

• Un rapport nommé ZHPFixReport.txt sera créé et sauvegardé sur le bureau.  

        Note: le rapport se trouve aussi à cet emplacement,  
                Disque local C:\Utilisateurs\mon nom\AppData\Roaming\ZHP\ZHPFix[R1].txt
 

• Fermer ZHPFix et redémarrer l'ordinateur (s'il ne redémarre pas de lui-même).

• Héberge le rapport sur www.Cjoint.com, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

 
le problème, c'est que si elle continue de cette façon sans rien changer, windows sera infecté tous les 15 jours.

J'ai oubliè de le dire justement. Je mettrai à la fin de la désinfection quelques conseils qu'il faudrait vraiment lire.

corrigé
 

Merci Monk, je lance la désinfection des que possible

La collègue a ce pc depuis 2 ans, c'est la première fois qu'il est vérolé. Et je crois que sa fille a compris, ça fait 1 mois qu'elle n'a plus l'ordi

 
c'est pas une solution non plus.
il vaudrait mieux que quelqu'un lui apprenne les bases pour utiliser correctement windows sans choper de merdes

Bonsoir à tous !
 
Désinfection lancée, même s'il a fallu lancer 2 fois le script. J'attends le redémarrage du PC
Ci joint le lien du rapport : http://www.cjoint.com/c/GFbt1x7Fkgq
 
PS : pourquoi 7zip est supprimé du démarrage ?  
SUPPRIMÉ Redémarrage:** C:\Program Files\7-Zip
 
 
Edit : eh m...., des pubs IE sont réapparues...
 
Edit2 : les nouveaux logs de scan :
- ZHP : http://www.cjoint.com/c/GFbutKmzc0q
- FRST :  http://www.cjoint.com/c/GFbut5TXeRq
- Addition : http://www.cjoint.com/c/GFbuuoeK65q
 
Merci !

ca doit être le processus NwhUekPvdK.exe qui se lance au démarrage qui doit te mettre la misère.

Bizarre, google ne connait même pas ce processus !

C'est un nom aléatoire pour être plus difficilement détectable.

Il y a tellement d'infections que je l'ai supprimé par mégarde. Tu peux le réinstaller.
 
 
 
On continue le nettoyage...
 
 
Tout d'abord, désinstaller ce programme : Adblocker, c'est un adware.
 
Puis, utiliser le script suivant :
 
 
==> FRST Correction :
 
 

• Appuyer sur les touches du clavier Windows et r.
• Dans la fenêtre, écrire: notepad (voir image ci-dessous).
• Cliquer sur OK.

• Le bloc-notes s'ouvre.  

• Copier maintenant toutes les lignes en gras ci-dessous:

    Note: pour copier toutes les lignes, griser de haut en bas toutes les lignes en restant appuyer sur le  
            clic gauche de la souris. Puis faire un clic droit de la souris et choisir Copier.
 
 

CloseProcesses:
CreateRestorePoint:
EmptyTemp:
HKU\S-1-5-21-823054526-3306692839-2450841464-1000\...\Run: [CJQMSIQ03BVTC14] => "C:\Program Files\YSN7N6FUD8\YSN7N6FUD.exe"
C:\Program Files\YSN7N6FUD8
HKU\S-1-5-21-823054526-3306692839-2450841464-1000\...\Run: [S0HZAJY9EQSJSKU] => "C:\Program Files\KPAP9YO0IU\KPAP9YO0I.exe"
C:\Program Files\KPAP9YO0IU
HKU\S-1-5-21-823054526-3306692839-2450841464-1000\...\Run: [EI8LE7G7ID3BJQW] => "C:\Program Files\CWRMJZLN77\3SAAR5KSV.exe"
C:\Program Files\CWRMJZLN77
HKU\S-1-5-21-823054526-3306692839-2450841464-1000\...\Run: [PM32HF3Y49BE905] => "C:\Program Files\LZZXZ5HTOB\082OUJLOS.exe"
C:\Program Files\LZZXZ5HTOB
HKU\S-1-5-21-823054526-3306692839-2450841464-1000\...\Run: [MJKEIA870WV9E60] => "C:\Program Files\H4524Y3E57\H4524Y3E5.exe"
C:\Program Files\H4524Y3E57
HKU\S-1-5-21-823054526-3306692839-2450841464-1000\...\Run: [JAJMEYZ3HP2ACH1] => "C:\Program Files\2ABAZAWLGO\2ABAZAWLG.exe"
C:\Program Files\2ABAZAWLGO
HKU\S-1-5-21-823054526-3306692839-2450841464-1000\...\Run: [SC6G65S3E28DZVV] => "C:\Program Files\04J66ZH7M0\04J66ZH7M.exe"
C:\Program Files\04J66ZH7M0
HKU\S-1-5-21-823054526-3306692839-2450841464-1000\...\Run: [FP45E1USEN3QQ97] => "C:\Program Files\FPVA5RH7T9\FPVA5RH7T.exe"
C:\Program Files\FPVA5RH7T9
HKU\S-1-5-21-823054526-3306692839-2450841464-1000\...\Run: [78K2ME30M2SFF4U] => "C:\Program Files\V954MBARBT\V954MBARB.exe"
C:\Program Files\V954MBARBT
HKU\S-1-5-21-823054526-3306692839-2450841464-1000\...\Run: [FZ6MUQ3GP9443DS] => "C:\Program Files\U2ULYTXP3X\U2ULYTXP3.exe"
C:\Program Files\U2ULYTXP3X
HKU\S-1-5-21-823054526-3306692839-2450841464-1000\...\Run: [UPN365EXX171R6W] => "C:\Program Files\WQS8PETOZP\9FZNXDZPZ.exe"
C:\Program Files\WQS8PETOZP
HKU\S-1-5-21-823054526-3306692839-2450841464-1000\...\Run: [2NRM7NKK5TD14DK] => "C:\Program Files\RFFWDZO724\IBXJL5MCQ.exe"
C:\Program Files\RFFWDZO724
HKU\S-1-5-21-823054526-3306692839-2450841464-1000\...\Run: [5XPJMV8J0TKQN2R] => "C:\Program Files\GF378GR8LS\07Y8GJTTE.exe"
C:\Program Files\GF378GR8LS
HKU\S-1-5-21-823054526-3306692839-2450841464-1000\...\Run: [97OH14WHVURG5SX] => "C:\Program Files\8DYBJ9418M\8DYBJ9418.exe"
C:\Program Files\8DYBJ9418M
HKU\S-1-5-21-823054526-3306692839-2450841464-1000\...\Run: [O5J29B7XS0IFUHW] => "C:\Program Files\6B3PRUSOO8\6B3PRUSOO.exe"
C:\Program Files\6B3PRUSOO8
HKU\S-1-5-21-823054526-3306692839-2450841464-1000\...\Run: [36GP11HXECZ0QJ6] => "C:\Program Files\198X0TBNYE\VNP4SX16T.exe"
C:\Program Files\198X0TBNYE
HKU\S-1-5-21-823054526-3306692839-2450841464-1000\...\Run: [TJV5V0ZH98FTEEM] => "C:\Program Files\TNWTK6S452\TNWTK6S45.exe"
C:\Program Files\TNWTK6S452
HKU\S-1-5-21-823054526-3306692839-2450841464-1000\...\Run: [NwhUekPvdK.exe] => C:\Program Files\InstallShield Installation Information\2X3T25AHM5BFYEO0T4P26MX9O0QAMCCTDU6Y1QRHS4PQO6JFSWDTJMSPA4EBOA5\NwhUekPvdK.exe [519168 2017-04-26] (bhim)
HKLM\...\Providers\hgsamczs: C:\Program Files\Aritey Schedule\local32spl.dll [282624 2017-04-19] ()
2017-06-01 21:50 - 2017-04-19 21:20 - 00000000 ____D C:\Program Files\Aritey Schedule
ShellExecuteHooks: Pas de nom - {6AECE236-233F-11E7-8797-64006A5CFC23} - C:\Program Files\Lsitanafach\Chikoiedplunpy.dll -> Pas de fichier
C:\Program Files\Lsitanafach
FF Extension: (Disable Prefetch) - C:\Users\Elodie\AppData\Roaming\Mozilla\Firefox\Profiles\ro3tdvdr.default\features\{aa5ba61f-8b80-405f-8fda-fde3129605ad}\disable-prefetch@mozilla.org.xpi [2017-04-05]
FF SearchPlugin: C:\Users\Elodie\AppData\Roaming\Mozilla\Firefox\Profiles\ro3tdvdr.default\searchplugins\dj5tfawq.xml [2017-04-19]
FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\161088437.js [2017-04-19]
FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\itms.js [2016-03-14]
FF ExtraCheck: C:\Program Files\mozilla firefox\browser\defaults\preferences\firefox.js [2017-04-19]
FF ExtraCheck: C:\Program Files\mozilla firefox\161088437.cfg [2017-04-19]
CHR DefaultSearchKeyword: Default -> yahoo.com
CHR DefaultSearchURL: Default -> hxxp://searche-engine.ru/?ref=mgykk&q={searchTerms}&subId=cmi_chrome
OPR Extension: (Pas de nom) - C:\Users\Elodie\AppData\Roaming\Opera Software\Opera Stable\Extensions\pbdpajcdgknpendpmecafmopknefafha [2017-04-19]
R1 cryptfd; C:\WINDOWS\System32\drivers\cryptfd.sys [176552 2017-03-03]
C:\WINDOWS\System32\drivers\cryptfd.sys
R0 flowhlp; C:\WINDOWS\System32\drivers\flowhlp.dat
C:\WINDOWS\System32\drivers\flowhlp.dat
R1 NetUtils2016; C:\WINDOWS\system32\drivers\NetUtils2016.sys
C:\WINDOWS\system32\drivers\NetUtils2016.sys
2017-05-29 10:30 - 2017-06-01 21:57 - 00514488 _____ C:\WINDOWS\system32\NetUtils2016.dll
2017-05-29 01:31 - 2017-05-29 01:33 - 00000000 ____D C:\Users\TEMP
2017-05-28 11:27 - 2017-05-05 23:23 - 00797672 _____ (????????????) C:\Users\Elodie\AppData\Local\FlowSprit.dll
2017-05-28 11:27 - 2017-05-05 23:23 - 00516072 _____ (????????????) C:\Users\Elodie\AppData\Local\uninst.tmp
2017-05-05 23:23 - 2017-05-05 23:23 - 00134248 _____ C:\WINDOWS\system32\Drivers\flowhlp.dat
2017-05-28 10:42 - 2017-04-19 22:28 - 00000000 ____D C:\Program Files\Lerjudom
2017-05-05 23:14 - 2017-04-22 12:25 - 00000000 ____D C:\Program Files\lll
2017-04-21 21:16 - 2017-04-21 21:16 - 0000000 _____ () C:\Users\Elodie\AppData\Local\{53E51C64-DC0F-4832-887F-282720191F64}
Task: {4CF1A98A-E93C-4800-A6B7-CC8E2CC8BC9D} - System32\Tasks\{8F0EBAB6-2064-8F29-B0A4-59D1C6B0FD2E} => Regsvr32.exe /s /n /i:"/rt" "C:\PROGRA~2\fcf62f8b\cde826e2.dll"
C:\PROGRA~2\fcf62f8b
Folder: C:\Users\TEMP

 
 

• Retourner dans le bloc-notes ouvert et au milieu de la page, faire un clic de la souris et choisir Coller (toutes les lignes vont s'inscrire).  

• Dans l'entête du bloc-notes, cliquer sur Fichier, puis Enregistrer sous ... et selectionner Bureau.  

        Dans la case Nom du fichier, écrire fixlist et cliquer sur Enregistrer.  
 
 

• Puis, à partir du Bureau, faire un clic droit de la souris sur l'icône de FRST ou FRST64 et choisir "Exécuter en tant qu'administrateur".

• Cliquer sur Corriger

     Note : Patienter le temps de la suppression. Le PC va redémarrer.
 
 
   
 
 

• Une fois le PC redémarré, un rapport Fixlog.txt a été créé sur le Bureau.

• Héberger ce rapport sur www.Cjoint.com, puis copier/coller le lien fourni dans ta prochaine réponse sur le forum.

Salut Monk !
 
Le rapport : http://www.cjoint.com/c/GFdgUpLtItq
Ca a l'air pas mal du tout, il n'y a plus de pub qui s'affichent après 10 min, merci beaucoup !

Ça devrait aller oui. Il ne reste plus qu'à prodiguer quelques conseils essentiels (fais passer le message).  
 
 
 
 
==> Quelques conseils :    
 
 

• Ne télécharger pas de programmes sur des sites douteux ou sur certains sites revendeurs comme 01.net, Softonic, BrotherSoft. Ces sites utilisent leur propre installateur et rajoutent pendant l'installation des programmes indésirables LPI/PUP (toolbars, adwares, spywares, hijackers, rogues).  

• Préférer les téléchargements chez l'éditeur du programme (le site officiel).  

• Lors de l'installation d'un programme, lire attentivement ce qui est proposé, choisir l'installation personnalisée ou avancée et décocher les programmes additionnels inutiles, ou cliquer sur Skip (Passer).

• Filtrer les publicités malicieuses (malvertising) qui peuvent installer des malwares à l'aide du programme Adblock Plus.  

        Pour chaque navigateur internet concerné, copier l'adresse du lien qui se trouve ci-dessous (en faisant un
        clic droit de la souris + copier l'adresse du lien), puis ouvrir le navigateur et coller le lien dans la barre
        d'adresse (clic droit + coller). Installer ensuite Adblock Plus.
 
         - pour Edge
         - pour Internet Explorer
         - pour Mozilla
         - pour Google Chrome  
         - pour Opéra
 

• Attention aux fausses mises à jour, plugins et faux codecs qui sont proposés notamment sur des sites de jeux, de streaming ou de charmes, vous n'avez pas besoin d'installer ces programmes.

• Au niveau des mails et des réseaux sociaux, soyez prudent, n'ouvrez pas des pièces jointes et ne cliquer pas sur des liens dont le contenu des messages ou l'expéditeur est douteux. Attention également à certains mails que l'on appelle phishing, ceux-ci vont vous rediriger vers des sites imités (vérifier l'adresse Url de ces sites).  

• Cracks: refuser de télécharger et d'utiliser illégalement des œuvres protégés par un copyright (non libre de droits). En plus d’être passible de sanctions vis-à-vis de la loi (Hadopi), ces œuvres piratées en provenance du réseau du P2P, du Direct Down Load ou par tout autre biais sont la source des infections les plus graves.

• Scanner (analyser) régulièrement son PC avec son antivirus résident et vérifier que la base de signatures virales est à jour afin de détecter les derniers malwares présents sur le net.  

• Sauvegarder sur un disque dur externe vos données personnelles (documents, images, vidéo, musiques) au cas où une panne sérieuse arriverait et empêcherait le PC de redémarrer, ou qu'un malware supprime ou crypte de façon irréversible ces données (sauvegarder sur un disque dur externe non connecté en permanence au PC).

• Renforcer la sécurité face aux ranso-cryptowares en utilisant le programme Marmiton de Malekal (cliquer sur Modifier pour désactiver Windows Script Host).

Merci beaucoup à tous !
Et message transmis pour les conseils