[RESOLU] HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|

[titAcharnée]

Bonjour à tous,

J'ai cette vilaine bestiole que je n'arrive pas à éradiquer.
Je lance un scan habituel avec Malwarebytes en ayant pris soin de désactiver Avira. Malwarebytes le détecte et me demande si je dois le supprimer (ce que je fais). Mais à chaque redémarrage (exigé par Malwarebytes), il se réinstalle! Pour vérification, je lance un nouveau scan et le résultat reste invariablement positif.

Quelqu'un pourrait-il m'aider? J'ai fait un scan d'hijack (je pense avoir chopé une saloperie en le téléchargeant d'ailleurs... merci 01net... ) et bien que certaines lignes ne m'inspirent rien de bon, je préfère que des helpers chevronnés me guident pour éviter toute erreur fatale de manipulation.

Peut-être n'y a-t-il aucun rapport mais au démarrage de l'ordinateur, Express Files (qui ne fait pas partie de mes programmes) veut se mettre à jour. Je soupçonne 01net d'être à l'origine de cette intrusion....

[angelique]

Faire Adwcleaner , onglet scan puis ensuite suppression ... un redémarrage peut être demandé. , voir > , et poste le rapport.


Sur Firefox : Menu Outils / Modules complémentaires
Onglet Extension.
Donne la liste.

Sur Google Chrome : Menu en haut à droite puis Outils / Extensions
Donne la liste.

1. Télécharge sur ton Bureau pas ailleurs FRST.EXE:
   
   La page de téléchargement : http://www.bleepingcomputer.com/downloa ... scan-tool/
   Le téléchargement se fait à partir des boutons bleus Download – choisissez la version 32 ou 64 bits selon l’architecture de votre système.
   (Au pire si vous êtes en 64 bits et que vous prenez la version 32 bits, vous aurez un message disant que cette version ne peux fonctionner – cela n’endommage pas le système).
   
   !! Placez le programme sur le bureau et pas ailleurs!!
2. Execute FRST.EXE, accepte le disclaimer , Cochez tous les options et cliquez sur le bouton Scan.
   Le scan se lance, les éléments scannés apparaissent en haut.
3. Une fois le scan terminé, une popup vous le signale et deux rapports sont générés : FRST.txt et Addition.txt ( Ces deux rapports se trouvent sur le bureau avec le programme FRST. )
   
   
   Utilise le site http://pjjoint.malekal.com/ pour envoyer ton rapport, et poste le lien dans ta prochaine réponse pour analyse.
   
   

[titAcharnée]

Merci de prendre mon problème en charge.

Voici le rapport d'AdwCleaner: http://pjjoint.malekal.com/files.php?id ... 10v10x5z11
Voici donc le rapport FRST: http://pjjoint.malekal.com/files.php?id ... 41511j15r7 et le rapport ''Addition'' http://pjjoint.malekal.com/files.php?id ... 12y8i13d10

Voici la liste des extensions de Firefox: AdBlock 2.4, Hotspot Shield Extension 3.23 (désactivée), Logitech SetPoint 6.5 (désactivée). Voici celles de Chrome: Documents Google (activée).
Petite curiosité, pourquoi ne pas s'intéresser aux extensions d'Opéra également?....

[angelique]

1. Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes. (ou executer---> notepad)
   Copie/colle dedans ce qui suit :
   
   

   Code : Tout sélectionner

   start
   AppInit_DLLs: C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC64Loader.dll [ ] ()
   AppInit_DLLs-x32: C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC32Loader.dll [ ] ()
   CHR DefaultSearchProvider: Conduit Search
   C:\Users\Grand Gourou\AppData\Local\Temp\avgnt.exe
   C:\Users\Grand Gourou\AppData\Local\Temp\conduitinstaller.exe
   C:\Users\Grand Gourou\AppData\Local\Temp\ffunzip.exe
   C:\Users\Grand Gourou\AppData\Local\Temp\htmlayout.dll
   C:\Users\Grand Gourou\AppData\Local\Temp\LMkRstPt.exe
   C:\Users\Grand Gourou\AppData\Local\Temp\Mobogenie-2.1.26.exe
   C:\Users\Grand Gourou\AppData\Local\Temp\MSETUP4.EXE
   C:\Users\Grand Gourou\AppData\Local\Temp\npp.6.4.3.Installer.exe
   C:\Users\Grand Gourou\AppData\Local\Temp\npp.6.5.1.Installer.exe
   C:\Users\Grand Gourou\AppData\Local\Temp\Quarantine.exe
   C:\Users\Grand Gourou\AppData\Local\Temp\toolbar261525021.exe
   C:\Users\Grand Gourou\AppData\Local\Temp\uninst1.exe
   C:\Users\Grand Gourou\AppData\Local\Temp\winzip170-64ml_wrapped.exe
   C:\Users\Grand Gourou\AppData\Local\Temp\winziprosetup-WZRO6_20130221.exe
   C:\Users\Grand Gourou\AppData\Local\Temp\xmlUpdater.exe
   C:\Users\titAzimut\AppData\Local\Temp\avgnt.exe
   C:\Users\titAzimut\AppData\Local\Temp\conduitinstaller.exe
   C:\Users\titAzimut\AppData\Local\Temp\i4jdel0.exe
   C:\Users\titAzimut\AppData\Local\Temp\MSETUP4.EXE
   C:\Users\titAzimut\AppData\Local\Temp\npp.6.4.5.Installer.exe
   C:\Users\titAzimut\AppData\Local\Temp\SkypeSetup.exe
   C:\Users\titAzimut\AppData\Local\Temp\vlc-2.0.6-win32.exe
   C:\Users\titAzimut\AppData\Local\Temp\vlc-2.0.7-win32.exe
   C:\Users\titAzimut\AppData\Local\Temp\vlc-2.0.8-win32.exe
   
   
   

2. Menu Fichier / Enregistrer-sous
   Place toi sur le bureau, pas ailleurs , à coté de FRST64.EXE
   Dans le champs en bas, nom du fichier mets : fixlist.txt
   Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
   
   Relance FRST et clic sur le bouton fix
   Un redémarrage peut être nécessaire (pas obligatoire).
   Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

[titAcharnée]

Voilà le fixlog (pas de redémarrage demandé) http://pjjoint.malekal.com/files.php?id ... q5v11k9j13

[angelique]

ça devrait etre OK ?


. supprime c:\FRST



Attention à ce que tu installes :
Des logiciels additionnels sont proposés (barre d'outils, adwares) via l'installation de logiciel gratuit en général ou via certains sites de téléchargement comme Softonic ou 01Net.
L'éditeur touche de l'argent à chaque installation réussie de ces programmes additionnels (un genre de sponsoring), ton PC se retrouve avec des barres d'outils qui ralentissent le navigateur ou des adwares qui ouvrent des popups de publicités.
Les barres d'outils sont là pour t'affilier à un service (moteur de recherche de Yahoo! ou Google), ça rajoute des fonctionnalités mais en général les navigateurs les ont par défaut.
De plus, elles enregistrent les sites que tu visites pour les transmettre (tracking) à faire de la publicité ciblée, c'est pas super niveau protection de la vie privée.
Plusieurs toolbars ralentissent le PC et peuvent faire planter les navigateurs WEB.
Au final, il est pas conseillé d'en utiliser.

Enfin l'accumulation de ces programmes ralentissent l'ordinateur/navigateur WEB.

Ces programmes additionnels sont proposées à l'installation de programmes et très souvent ces ajouts sont précochés. C'est notamment le cas sur 01net et Softonic qu'ils est conseillé d'éviter comme sites de téléchargement.
Dès lors, lorsque tu installes un programme, lis bien ce qui est proposé car tu risques d'installer des barres d'outils sans le savoir.

Lire Les PUPs/LPIs : https://www.malekal.com/adwares-pup-protection/

[titAcharnée]

ça devrait etre OK ?

Je suppose.... Veux-tu que je relance un scan de Malwarebytes pour vérification?....

Merci de toutes ces instructions de téléchargement que je connais pourtant bien! Comme quoi... même en essayant de rester vigilant, on est à l'abri de rien!! Ma décision est prise! A partir d'aujourd'hui, je vais bannir 01net (ben non! j'avais pas encore compris!), vecteur de trop nombreux programmes additionnels.

[angelique]

Je suppose.... Veux-tu que je relance un scan de Malwarebytes pour vérification?....

Pas la peine , y'aura rien à mon avis ;)

[titAcharnée]

Juste pour le plaisir de ne rien trouver, je vais en faire un!! Et je te poste le résultat pour la peine!

[titAcharnée]

Oh yeaaah!! Malwarebytes n'a rien détecté!!
Bravo Angélique et grand merci. Les helpers de ce site sont redoutablement rapides et efficaces, encore merci!

Ce problème est donc résolu!
Mais je reviendrai d'ici peu! Une fois n'est pas coutume, je dois désinfecter un autre ordinateur récalcitrant. A très vite.