Idem Dante84

Idem Dante84 - Virus/Spywares - Windows & Software

Marsh Posté le 29-05-2012 à 15:00:05    

Bonjour,
 
Ben un peu comme Dante84, je vous faire part de mon problème.  
J'ai acheté il y à quelques mois (3 à vrais dire) au travers de la boîte qui m'emploi un PC HP ProBook 6560b portable équipé de seven. Pour des raisons pratiques, j'ai demandé à l'informaticien qui s'est occupé de l'achat de le formater et de le réinstaller en XP. Dès réception j'ai mis un antivirus, AVAST pour pas le nommer dont j'ai acheté la licence.
 
A ma grande surprise, dès que j'ai commencé à l'utiliser, des fenêtres publicitaires intempestives et notamment pornographiques se sont invitées à mon quotidien. Ce n'est pas un réel problème en sois, il n'y à pas d'enfants en bas âge à la maison, mais bon ce PC me sert à l'atelier Photo de mon village, et ça fait désordre devant l'assemblée.
 
Mon collègue me dit que c'est certainement en téléchargeant les drivers, et qu'il y jettera un coup d'œil, mais le temps passe et manifestement il n'en a pas assez!
 
Bref, si quelqu'un peu m'aider ce serait sympa.    
 
Cdt
 
JP

Reply

Marsh Posté le 29-05-2012 à 15:00:05   

Reply

Marsh Posté le 30-05-2012 à 03:39:17    

Bonsoir,
 
 
Plusieurs choses me chagrinent dans votre message...
 
La première c'est d'être passé d'un système un minimum sécurisé (seven) vers un système complètement ouvert (XP) inadapté au web d'aujourd'hui. Je vous conseille d'éviter l'utilisation en ligne ou de "partitionner" un linux pour surfer tranquillement.
 
La seconde c'est d'avoir acheté une license avast, c'est un produit d'une certaine valeur en gratuit mais qui perd de sa superbe en payant, surtout pour un système aussi âgé.
 
Bref, passons aux solutions.
 
Sous XP microsoft avait prévu un service d'information, dans le but surtout de promouvoir des logiciels tiers associé à sa marque. Ce service constitue l'une des principale faille du système et permet de véhiculer plusieurs types d'informations douteuses (scareware, sites douteux, avalanches de popup... entre autre). Il faut donc commencer par désactiver ce service :
 
Cliquez sur Démarrer -> Exécuter ou utilisez la combinaison de touches Windows+R
 
Tapez services.msc dans la fenêtre qui s'affiche.
 
Recherchez le service "Affichage des messages"
 
Clic droit sélectionnez Arrêter
 
Clic droit à nouveau puis sélectionnez Propriétés
 
Déroulez la liste en regard de "Type de démarrage" et sélectionnez "Désactivé"
 
 
-> Ceci fait redémarrez et vérifiez la disparition de ces popup.
 
 
En complément faites une analyse avec Spybots à la recherche d'éventuels spyware qui pourraient également générer ces popup.
 
Coté sécurité, Avast seul ne suffira pas, je vous conseille vivement d'utiliser, en complément, une solution firewall IDS/HIPS. Comodo Firewall est l'une des plus efficaces et des plus complète, ceci dit le paramétrages et la prise en main sont relativement difficile pour un néophyte. PcTools Firewall, Sygate Personnal Firewall sont plus légers mais peuvent vous alerter en cas d'intrusion.  
 
Bien sur un certain discernement est nécessaire dans l'utilisation de ces outils, il vous appartient d'autoriser ou non l'installation de logiciels non signés.
 
Des logiciels d'appoints comme Ccleaner, mbam, adwcleaner permettent également de garder le système propre et sable.
 
Et pour finir évitez de télécharger vos pilotes ailleurs que sur les sites constructeurs.
 
 
Je reste à votre disposition en cas de difficultés supplémentaires, questions, ou analyse plus en profondeur si le problème devait persister.  
 

Reply

Marsh Posté le 30-05-2012 à 06:49:36    

bonjour,  
Merci pour vos retours. Pour les pilotes, c'est sur, ils ont été téchargés sur le site HP.
Pour XP, je ne savais pas qu'XP était aussi vulnérable!.
J'avance dans les instructions et vous tiens au courants.
Cdt,

Reply

Marsh Posté le 30-05-2012 à 08:40:14    

XP a toujours été vulnérable, aucun système ne devrait permettre qu'un utilisateur puisse disposer en permanence des droits d'administration, c'est une de ses failles de sécurité majeures. Le web évoluant, hackers, pirates, spam, malware, scareware... et autres techniques marketing de pollution font que ce système s'est rapidement retrouvé dépassé malgré les nombreuses mise à jours et services pack essayant difficilement de combler les manques. Service qui ne sera plus longtemps assuré par microsoft, d'ailleurs les nouvelles versions de ses outils phares tels Internet Explorer, Windows Live Media, Windows Live Messenger étant dorénavant incompatible avec XP.
 
Avec l'avènement matériel et l'arrivée du 64bits vista/seven se sont imposés, plus sûrs mais aussi plus lourds... réclamant plus de 2Go de mémoire pour exploiter des pilotes 64bits. D'ailleurs votre portable est construit pour exploiter un système x64, les composants et les performances seront diminuées avec un système 32 bits. Vous ne pourrez exploiter que 2.8 à 3.3 Go sur vos 4Go de ram. Le CPU, un core i5 et même l'IGP sont conçu pour une exploitation sous système x64. C'est un peu dommage de passer à coté, en plus d'une sécurité améliorée.
 
A moins d'avoir vraiment besoin spécifique d'XP (exploitation de matériel ancien) le downgrade système ne se justifie pas. J'ajoute qu'il est possible aussi d'avoir les deux en multiboot, ou de virtualiser XP sous seven... entre autre, le Core i5 2410M supportant la virtualisation améliorée (Intel® VT-x with Extended Page Tables (EPT)).
 
Mais bon, désolé, je ferme cette parenthèse qui nous éloigne du problème de base ^^
 

Reply

Marsh Posté le 30-05-2012 à 20:56:47    

Bonsoir,
Il n'en reste pas moins que cette manip reste à l'origine de cette pollution, et qu’elle à le mérite de mettre le doigt sur le problème. Pour l’heure, j’ai téléchargé  Malwarebytes et après mise à jour m’a croquer 21 trojans. Une deuxième fois, après avoir isolé le PC d’internet, et scanné par la même occasion l’ensemble de mes périphériques, bilan 1 autre tojan. Enfin une 3ème et 4ème fois, plus rien.
Ensuite j’ai installé SPYBOTS, comme vous me l’avez conseillé, mis à jour ce dernier et je l’ai lancé.
Après son passage, il a nettoyé une vingtaine de spywares de tous ordres ainsi  qu’un problème dans la base de registre.
Voila, pour le moment tout à l’air d’aller mieux, reste voir côté sécurité pour soutenir avast.
Merci d’avoir pris le temps de me lire, et vous tiens informé.
Cdt,

Reply

Marsh Posté le 30-05-2012 à 23:19:28    

Avoir utilisé mbam est un bon réflexe, je n'imaginais pas votre machine aussi infecté. N'oubliez pas Ccleaner pour le nettoyage cache + registre.
 
Pour une navigation plus sécurisé je vous conseille vivement firefox avec deux modules adblock et noscript, ils bloquerons la majorité des pages et contenus piégés.

Reply

Marsh Posté le 30-05-2012 à 23:28:52    

Salut à vous deux.
 
Pour les fenêtres publicitaires :

  • Télécharge AdwCleaner (d'Xplode) sur ton bureau
  • Lance le puis choisis Suppression
  • Dès que c'est fini, l'ordinateur redémarre et le rapport s'ouvre : copie/colle moi son contenu dans ta prochaine réponse

Note : le rapport se trouve aussi ici : AdwCleaner[S1].txt.
 
------------
 
Pour un diagnostic (et voir ce qu'il reste) :

  • Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
  • Suis les indications pendant l'installation (laisse la case Créer une icône sur le bureau cochée)
  • Lance le raccourci ZHPDiag qui est sur ton bureau
  • Appuie sur la loupe en haut à gauche (Lancer le diagnostic) et laisse tourner
  • Dès que c'est fini, héberge le rapport ZHPDiag.txt (qui est sur le bureau) ICI
  • Envoie moi le lien du rapport


------------
 
La version gratuite d'Avast est largement suffisante pour un usage personnel. Pas besoin d'acheter la licence.  
 
++

Reply

Marsh Posté le 02-06-2012 à 11:35:21    

Bonjour, Excusez moi de retard, j'étais en déplacement. Pour le premier rapport,  
# AdwCleaner v1.608 - Rapport créé le 02/06/2012 à 11:12:18
# Mis à jour le 27/05/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : jp.beaufils - NENE
# Exécuté depuis : C:\Documents and Settings\jp.beaufils\Bureau\adwcleaner.exe
# Option [Suppression]
 
 
***** [Services] *****
 
Arrêté & Supprimé : supdate
 
***** [Fichiers / Dossiers] *****
 
Dossier Supprimé : C:\Program Files\Boxore
 
***** [Registre] *****
 
Clé Supprimée : HKCU\Software\Cr_Installer
Clé Supprimée : HKCU\Software\Softonic
Clé Supprimée : HKLM\SOFTWARE\Boxore
Clé Supprimée : HKLM\SOFTWARE\Software
Clé Supprimée : HKLM\SOFTWARE\Classes\Software.OneClickCtrl.8
Clé Supprimée : HKLM\SOFTWARE\Classes\SoftwareUpdate.CoreClass
Clé Supprimée : HKLM\SOFTWARE\Classes\SoftwareUpdate.CoreClass.1
Clé Supprimée : HKLM\SOFTWARE\Classes\SoftwareUpdate.OnDemandCOMClassMachine
Clé Supprimée : HKLM\SOFTWARE\Classes\SoftwareUpdate.OnDemandCOMClassMachine.1.0
Clé Supprimée : HKLM\SOFTWARE\Classes\Installer\Features\64A6E60055D801F4BB8AC269354B72B8
Clé Supprimée : HKLM\SOFTWARE\Classes\Installer\Products\64A6E60055D801F4BB8AC269354B72B8
Clé Supprimée : HKLM\SOFTWARE\Classes\Installer\UpgradeCodes\1C875DDE39636004CA8CDAEC335B4160
Clé Supprimée : HKLM\SOFTWARE\Classes\Installer\UpgradeCodes\BA086F2D38A8E1A47912955A68B3AD24
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\1C875DDE39636004CA8CDAEC335B4160
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\BA086F2D38A8E1A47912955A68B3AD24
Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43
Clé Supprimée : HKLM\SOFTWARE\Classes\MIME\Database\Content Type\application/x-vnd.software.oneclickctrl.8
Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\jeaihkehdlhkocphopopahkfjcfcphef
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{006E6A46-8D55-4F10-BBA8-2C9653B4278B}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{EC510574-6981-4584-BA53-55929B4B7CA5}
Clé Supprimée : HKLM\SOFTWARE\MozillaPlugins\@www.dlmanager.net/omaha/tools//Software Update;version=8\
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\New Windows\Allow [*.crossrider.com]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow [*.crossrider.com]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [Boxore Client]
 
***** [Registre - GUID] *****
 
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{32451DFC-C23B-4E12-866C-FC7982238504}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{092A2C6B-43EE-4F9F-8F8E-14ED5E11C14B}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{257A6158-1416-4B31-9BF8-29FF49F3814F}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{32451DFC-C23B-4E12-866C-FC7982238504}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{7555B87D-D711-48B2-B97D-04DF700652BA}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{AC5C4189-A8A0-4C9D-8910-C9CEF8360077}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{C9FC4C5A-2C9B-4E41-8DA2-2F379D74CF45}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{736EF78E-5A04-46F9-893E-EDEC6EA5DF45}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{7A1BCE27-099C-4628-B63A-AEC00C6376B3}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{AF3AFF7C-B9E9-48DD-9002-212B6DEAAC02}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{DBE82879-914A-422F-BAE9-2ECC80BE536F}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{E12D7149-73EF-45E4-A1E9-99FD7DAE62D3}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{F2B184F1-547C-4EE9-BFC4-AC489C7077D9}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{E2E2DD38-D088-4134-82B7-F2BA38496583}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{7555B87D-D711-48B2-B97D-04DF700652BA}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{C9FC4C5A-2C9B-4E41-8DA2-2F379D74CF45}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7555B87D-D711-48B2-B97D-04DF700652BA}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{C9FC4C5A-2C9B-4E41-8DA2-2F379D74CF45}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{E2E2DD38-D088-4134-82B7-F2BA38496583}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E2E2DD38-D088-4134-82B7-F2BA38496583}
 
***** [Navigateurs] *****
 
-\\ Internet Explorer v8.0.6001.18702
 
[OK] Le registre ne contient aucune entrée illégitime.
 
pour ZHPdiag, quand je lance la loupe il scrute 1% et écrit ce message
"erreur système, code 5, accès refusé"
merci de vos retours,

Reply

Marsh Posté le 02-06-2012 à 17:50:40    

salut,
 
Essayer d'abord avec l'antivirus Désactiver,  
Sinon lancer ZHPDiag en mode sans échec: en appuyant sur F8 au logo du bios.

Reply

Marsh Posté le 03-06-2012 à 14:11:59    

Salut.
 
Désolé pas habitué à ce forum (pas activé les notifs par email).
 
Oui tu peux essayer ce que Wizdo a demandé, c'est-à-dire le mode sans échec.
Sinon au lancement de ZHPDiag, clique sur le tournevis (à droite de la grosse flèche verte) puis décocher Redirection du fichier HOSTS (O1) et tester
 
++

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed